www.wikidata.de-de.nina.az

SIM Swapping auch SIM Karten Swap ist eine Betrugsmasche bei der ein Hacker die Mobiltelefonnummer eines Benutzers verwe

SIM-Swapping

SIM-Swapping, auch SIM-Karten-Swap, ist eine Betrugsmasche, bei der ein Hacker die Mobiltelefonnummer eines Benutzers verwendet, um sich – unter Umständen nur kurzfristig – der Online-Identität des angegriffenen Opfers bemächtigen und als die Zielperson ausgeben zu können (Identitätsdiebstahl). Bereits 2013, 2014 und 2015 erbeuteten Betrüger auf diese Weise meist fünfstellige Euro-Beträge, der Gesamtschaden belief sich auf über eine Million Euro. Mobilfunkanbieter verstärkten darauf ihre Sicherheitsmaßnahmen, insbesondere bei der Freischaltung von Ersatz-SIM-Karten in den Mobilfunk-Shops über die Hotline.

Hintergrund Bearbeiten

Mit der immer größeren Bedeutung des mobilen Zugriffs auf das Internet geht einher, dass die eigene Mobiltelefonnummer immer häufiger als zentrales Identifikationsmerkmal eines Benutzers verwendet wird – zusätzlich oder anstelle einer E-Mail-Adresse.

So wird die Mobiltelefonnummer heute bei vielen Online-Diensten genutzt, z. B. um

  • das Benutzerkonto wieder zugänglich zu machen, wenn das Passwort vergessen wurde, oder
  • als zusätzliche Sicherheit zum Passwort (Zwei-Faktor-Authentifizierung), wie z. B. bei vielen E-Mail-Anbietern oder den Diensten Amazon, Facebook, Google, Instagram und Twitter. Auch einige Online-Banking-Anwendungen schicken eine TAN per SMS auf das Mobiltelefon (Mobile TAN-Verfahren).

Auf der anderen Seite hatte erst Anfang September 2019 der IT-Sicherheitsexperte Sanyam Jain, GDI Foundation, eine Datenbank, die Hunderte Millionen Telefonnummern, jeweils verknüpft mit der ID des zugehörigen Facebook-Kontos, enthielt, frei zugänglich und unverschlüsselt im Netz gefunden und dem Nachrichtenportal TechCrunch gemeldet. Teilweise waren sogar Namen, Land, Geschlecht und andere Merkmale in der Datenbank mitaufgeführt. Die meisten der betroffenen Konten sollen Benutzern aus Großbritannien, den USA und Vietnam gehören. Die Datenbank wurde bald nach der Meldung an TechCrunch vom Netz genommen, der Betreiber konnte nicht ermittelt werden.

Durch das Aufkommen von eSIM-Angeboten hat Sim Swapping neuen Anschub bekommen, da es noch einfacher ist, eine virtuelle SIM-Karte zu laden, wenn man keine Postadresse mehr braucht. Die ersten größeren Fällen von eSIM Swapping sind bereits aufgetreten und einige Anbieter haben daher zusätzliche Sicherungsmechanismen in ihre eSIM-Systeme integriert.

Vorgehensweise Bearbeiten

Zunächst verschafft sich der Angreifer personenbezogene Daten über das anvisierte Opfer. So setzt SIM-Swapping in der Regel die Kenntnis von Name, Mobiltelefonnummer und gegebenenfalls weiterer Daten wie Postadresse oder die Zugangsdaten zum Online-Portal des Mobilfunkanbieters voraus. Derartige Informationen können oft über Social Engineering-Methoden wie z. B. Phishing-Mails ermittelt oder gar käuflich erworben werden.

Ein SIM-Swapping-Angriff nutzt weiter aus, dass Mobilfunkanbieter ihren Kunden in der Regel anbieten, eine neue SIM-Karte zu erhalten – z. B. wenn das Handy verloren ging oder die SIM-Karte einen technischen Defekt hat oder ein neues Handy ein anderes SIM-Karten-Format erfordert. Die bisherige Telefonnummer kann dabei auf die neue SIM-Karte übertragen werden. Beim SIM-Swapping-Angriff gibt sich der Angreifer nun gegenüber dem Mobilfunkanbieter als der eigentliche Kunde aus – sei es im Online-Portal (wenn sich der Angreifer bereits zuvor die Zugangsdaten verschaffen konnte) oder telefonisch im Kundenservicecenter (oft genügen hier Geburtsdatum, Postadresse oder die IBAN, um sich zu identifizieren). Auch eine Kündigung unter falschem Namen in Verbindung mit einer Rufnummernmitnahme ist denkbar.

Sobald der Betrüger die SIM-Karte erhalten hat, kann er unter der Mobiltelefonnummer des Opfers Anrufe tätigen und SMS erhalten und sich auf diese Weise im Namen des kompromittierten Benutzers Zugang zu verschiedenen Online-Diensten verschaffen – z. B. mittels des Dienstes „Passwort zurücksetzen“, wenn die Verifikation des Benutzers über eine SMS oder einen Anruf auf das Mobilfunkgerät geschieht.

Am 30. August 2019 wurde beispielsweise das Twitter-Benutzungskonto von Jack Dorsey – Erfinder und Mitgründer von Twitter sowie des mobilen Bezahldienstes Square – für die Dauer von fast einer Stunde gekapert, und es wurden – im Namen von Dorsey – rassistische Tweets abgesetzt.

Bei Instagram wiederum genügt es, die zum Konto gehörige Mobiltelefonnummer anzugeben, um das Passwort zurückzusetzen.

Schutzmaßnahmen Bearbeiten

Grundlegend ist ein Bewusstsein gegenüber den Risiken des Phishing, insbesondere ein gesundes Misstrauen gegenüber Links und Dateianhängen in angeblichen E-Mails von der Bank. Im Zweifelsfall kann eine Nachfrage bei der Bank Klarheit schaffen.

Ein wirkungsvoller Schutz gegenüber SIM-Swapping-Angriff besteht sodann darin, den Versand einer neuen SIM-Karte unter Mitnahme der Rufnummer mit einem Kundenkennwort bzw. einem PIN-Code zu sichern. Die Mobilfunkanbieter vereinbaren ein solches Kundenkennwort in der Regel bei Vertragsabschluss oder man kann es über ein entsprechendes Formular nachträglich setzen bzw. ändern. Sollte man jedoch unerwartet keine mobilen Daten mehr empfangen oder nicht mehr telefonieren können, wird empfohlen, sich unmittelbar mit seinem Mobilfunknetzbetreiber in Verbindung zu setzen.

Mehr Sicherheit als SMS sollen Apps zur Zwei-Faktor-Authentifizierung wie beispielsweise Google Authenticator oder Authy bieten. Bewährt haben sich Security-Token – kleine externe Geräte wie TAN-Generatoren oder Security-Token, die per USB-Schnittstelle oder via Bluetooth verbunden werden.

Unabhängig davon kann SIM-Swapping vorgebeugt werden, indem man die Möglichkeit, das Passwort per SMS zurücksetzen zu lassen, nach Möglichkeit über die Einstellungen im Online-Dienst sperrt.

Weblinks Bearbeiten

Siehe auch Bearbeiten

Einzelnachweise Bearbeiten

  1. Harald Freiberger: Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. In: sueddeutsche.de, 18. August 2014
  2. Harald Freiberger, Markus Zydra: Tan mit Tücken. Von Tan, iTan bis mTan: die wichtigsten Verfahren im Überblick. In: sueddeutsche.de, 30. Oktober 2013
  3. Telekom bestätigt Betrugsserie im Online-Banking. In: sueddeutsche.de, 21. Oktober 2015
  4. Harald Freiberger, Helmut Martin-Jung: Bankgeschäfte im Internet:Betrugsfall beim Onlinebanking weitet sich aus. In: sueddeutsche.de, 22. Oktober 2015
  5. Zack Whittaker: A huge database of Facebook users’ phone numbers found online. In: techcrunch.com, 4. September 2019
  6. Facebook-Datenbank im Netz: Was Kriminelle mit Ihrer Handynummer anstellen können. In: sueddeutsche.de, 5. September 2019
  7. eSIM Swapping – höhere Gefahr für eSIM Nutzer In: esim-karte.com, 27. Januar 2020
  8. Thayer: Twitter CEO Jack Dorseys Account Hacked. In: theglobeandmail.com, 30. August 2019
  9. Facebook-Datenbank im Netz: Was Kriminelle mit Ihrer Handynummer anstellen können. In: sueddeutsche.de, 5. September 2019
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
SIM Swapping auch SIM Karten Swap ist eine Betrugsmasche bei der ein Hacker die Mobiltelefonnummer eines Benutzers verwendet um sich unter Umstanden nur kurzfristig der Online Identitat des angegriffenen Opfers bemachtigen und als die Zielperson ausgeben zu konnen Identitatsdiebstahl Bereits 2013 2014 und 2015 erbeuteten Betruger auf diese Weise meist funfstellige Euro Betrage der Gesamtschaden belief sich auf uber eine Million Euro Mobilfunkanbieter verstarkten darauf ihre Sicherheitsmassnahmen insbesondere bei der Freischaltung von Ersatz SIM Karten in den Mobilfunk Shops uber die Hotline 1 2 3 4 Inhaltsverzeichnis 1 Hintergrund 2 Vorgehensweise 3 Schutzmassnahmen 4 Weblinks 5 Siehe auch 6 EinzelnachweiseHintergrund BearbeitenMit der immer grosseren Bedeutung des mobilen Zugriffs auf das Internet geht einher dass die eigene Mobiltelefonnummer immer haufiger als zentrales Identifikationsmerkmal eines Benutzers verwendet wird zusatzlich oder anstelle einer E Mail Adresse So wird die Mobiltelefonnummer heute bei vielen Online Diensten genutzt z B um das Benutzerkonto wieder zuganglich zu machen wenn das Passwort vergessen wurde oder als zusatzliche Sicherheit zum Passwort Zwei Faktor Authentifizierung wie z B bei vielen E Mail Anbietern oder den Diensten Amazon Facebook Google Instagram und Twitter Auch einige Online Banking Anwendungen schicken eine TAN per SMS auf das Mobiltelefon Mobile TAN Verfahren Auf der anderen Seite hatte erst Anfang September 2019 der IT Sicherheitsexperte Sanyam Jain GDI Foundation eine Datenbank die Hunderte Millionen Telefonnummern jeweils verknupft mit der ID des zugehorigen Facebook Kontos enthielt frei zuganglich und unverschlusselt im Netz gefunden und dem Nachrichtenportal TechCrunch gemeldet Teilweise waren sogar Namen Land Geschlecht und andere Merkmale in der Datenbank mitaufgefuhrt Die meisten der betroffenen Konten sollen Benutzern aus Grossbritannien den USA und Vietnam gehoren Die Datenbank wurde bald nach der Meldung an TechCrunch vom Netz genommen der Betreiber konnte nicht ermittelt werden 5 6 Durch das Aufkommen von eSIM Angeboten hat Sim Swapping neuen Anschub bekommen da es noch einfacher ist eine virtuelle SIM Karte zu laden wenn man keine Postadresse mehr braucht Die ersten grosseren Fallen von eSIM Swapping sind bereits aufgetreten und einige Anbieter haben daher zusatzliche Sicherungsmechanismen in ihre eSIM Systeme integriert 7 Vorgehensweise BearbeitenZunachst verschafft sich der Angreifer personenbezogene Daten uber das anvisierte Opfer So setzt SIM Swapping in der Regel die Kenntnis von Name Mobiltelefonnummer und gegebenenfalls weiterer Daten wie Postadresse oder die Zugangsdaten zum Online Portal des Mobilfunkanbieters voraus Derartige Informationen konnen oft uber Social Engineering Methoden wie z B Phishing Mails ermittelt oder gar kauflich erworben werden Ein SIM Swapping Angriff nutzt weiter aus dass Mobilfunkanbieter ihren Kunden in der Regel anbieten eine neue SIM Karte zu erhalten z B wenn das Handy verloren ging oder die SIM Karte einen technischen Defekt hat oder ein neues Handy ein anderes SIM Karten Format erfordert Die bisherige Telefonnummer kann dabei auf die neue SIM Karte ubertragen werden Beim SIM Swapping Angriff gibt sich der Angreifer nun gegenuber dem Mobilfunkanbieter als der eigentliche Kunde aus sei es im Online Portal wenn sich der Angreifer bereits zuvor die Zugangsdaten verschaffen konnte oder telefonisch im Kundenservicecenter oft genugen hier Geburtsdatum Postadresse oder die IBAN um sich zu identifizieren Auch eine Kundigung unter falschem Namen in Verbindung mit einer Rufnummernmitnahme ist denkbar Sobald der Betruger die SIM Karte erhalten hat kann er unter der Mobiltelefonnummer des Opfers Anrufe tatigen und SMS erhalten und sich auf diese Weise im Namen des kompromittierten Benutzers Zugang zu verschiedenen Online Diensten verschaffen z B mittels des Dienstes Passwort zurucksetzen wenn die Verifikation des Benutzers uber eine SMS oder einen Anruf auf das Mobilfunkgerat geschieht Am 30 August 2019 wurde beispielsweise das Twitter Benutzungskonto von Jack Dorsey Erfinder und Mitgrunder von Twitter sowie des mobilen Bezahldienstes Square fur die Dauer von fast einer Stunde gekapert und es wurden im Namen von Dorsey rassistische Tweets abgesetzt 8 Bei Instagram wiederum genugt es die zum Konto gehorige Mobiltelefonnummer anzugeben um das Passwort zuruckzusetzen Schutzmassnahmen BearbeitenGrundlegend ist ein Bewusstsein gegenuber den Risiken des Phishing insbesondere ein gesundes Misstrauen gegenuber Links und Dateianhangen in angeblichen E Mails von der Bank Im Zweifelsfall kann eine Nachfrage bei der Bank Klarheit schaffen Ein wirkungsvoller Schutz gegenuber SIM Swapping Angriff besteht sodann darin den Versand einer neuen SIM Karte unter Mitnahme der Rufnummer mit einem Kundenkennwort bzw einem PIN Code zu sichern Die Mobilfunkanbieter vereinbaren ein solches Kundenkennwort in der Regel bei Vertragsabschluss oder man kann es uber ein entsprechendes Formular nachtraglich setzen bzw andern Sollte man jedoch unerwartet keine mobilen Daten mehr empfangen oder nicht mehr telefonieren konnen wird empfohlen sich unmittelbar mit seinem Mobilfunknetzbetreiber in Verbindung zu setzen 9 Mehr Sicherheit als SMS sollen Apps zur Zwei Faktor Authentifizierung wie beispielsweise Google Authenticator oder Authy bieten Bewahrt haben sich Security Token kleine externe Gerate wie TAN Generatoren oder Security Token die per USB Schnittstelle oder via Bluetooth verbunden werden Unabhangig davon kann SIM Swapping vorgebeugt werden indem man die Moglichkeit das Passwort per SMS zurucksetzen zu lassen nach Moglichkeit uber die Einstellungen im Online Dienst sperrt Weblinks BearbeitenFacebook Datenbank im Netz Was Kriminelle mit Ihrer Handynummer anstellen konnen In sueddeutsche de 5 September 2019 Meike Laaff SIM Swapping Wenn deine Telefonnummer nicht mehr deine ist In zeit de 5 September 2019Siehe auch BearbeitenZwei Faktor Authentifizierung Transaktionsnummer IdentitatsdiebstahlEinzelnachweise Bearbeiten Harald Freiberger Onlinebanking Neue Betrugsserie mit der mobilen Tan Nummer In sueddeutsche de 18 August 2014 Harald Freiberger Markus Zydra Tan mit Tucken Von Tan iTan bis mTan die wichtigsten Verfahren im Uberblick In sueddeutsche de 30 Oktober 2013 Telekom bestatigt Betrugsserie im Online Banking In sueddeutsche de 21 Oktober 2015 Harald Freiberger Helmut Martin Jung Bankgeschafte im Internet Betrugsfall beim Onlinebanking weitet sich aus In sueddeutsche de 22 Oktober 2015 Zack Whittaker A huge database of Facebook users phone numbers found online In techcrunch com 4 September 2019 Facebook Datenbank im Netz Was Kriminelle mit Ihrer Handynummer anstellen konnen In sueddeutsche de 5 September 2019 eSIM Swapping hohere Gefahr fur eSIM Nutzer In esim karte com 27 Januar 2020 Thayer Twitter CEO Jack Dorseys Account Hacked In theglobeandmail com 30 August 2019 Facebook Datenbank im Netz Was Kriminelle mit Ihrer Handynummer anstellen konnen In sueddeutsche de 5 September 2019 Abgerufen von https de wikipedia org w index php title SIM Swapping amp oldid 220416161