So schützen Sie sich vor SIM-Swapping-Angriffen

Du denkst, du machst die richtigen Schritte. Sie sind schlau mit Ihrer Sicherheit. Sie haben die Zwei-Faktor-Authentifizierung für alle Ihre Konten aktiviert. Aber Hacker haben eine Möglichkeit, das zu umgehen: SIM-Swapping.

Es ist eine verheerende Angriffsmethode mit schlimmen Folgen für diejenigen, die ihr zum Opfer fallen. Glücklicherweise gibt es Möglichkeiten, sich zu schützen. So funktioniert es und was Sie tun können.

Was ist ein SIM-Swap-Angriff?

An „SIM-Swapping“ ist grundsätzlich nichts auszusetzen. Wenn Sie Ihr Telefon einmal verlieren, führt Ihr Mobilfunkanbieter einen SIM-Tausch durch und überträgt Ihre Handynummer auf eine neue SIM-Karte. Es ist eine Routineaufgabe des Kundendienstes.

Das Problem ist, dass Hacker und organisierte Kriminelle herausgefunden haben, wie man Telefongesellschaften dazu bringt, SIM-Swaps durchzuführen. Sie können dann auf Konten zugreifen, die durch SMS-basierte Zwei-Faktor-Authentifizierung (2FA) geschützt sind.

Plötzlich wird Ihre Telefonnummer mit dem Telefon einer anderen Person verknüpft. Der Kriminelle bekommt dann alle für Sie bestimmten SMS und Telefonate.

Die Zwei-Faktor-Authentifizierung wurde als Reaktion auf das Problem der durchgesickerten Passwörter konzipiert. Viele Websites können Passwörter nicht richtig schützen. Sie verwenden Hashing und Salting, um zu verhindern, dass Passwörter in ihrer ursprünglichen Form von Dritten gelesen werden.

Noch schlimmer ist, dass viele Leute Passwörter auf verschiedenen Websites wiederverwenden. Wenn eine Site gehackt wird, hat ein Angreifer jetzt alles, was er braucht, um Konten auf anderen Plattformen anzugreifen, wodurch ein Schneeballeffekt entsteht.

Aus Sicherheitsgründen verlangen viele Dienste, dass Benutzer ein spezielles Einmalpasswort (OTP) angeben, wenn sie sich bei einem Konto anmelden. Diese OTPs werden im laufenden Betrieb generiert und sind nur einmal gültig. Sie verfallen auch nach kurzer Zeit.

Der Einfachheit halber senden viele Websites diese OTPs in einer Textnachricht an Ihr Telefon, was seine eigenen Risiken birgt. Was passiert, wenn ein Angreifer Ihre Telefonnummer erhält, indem er entweder Ihr Telefon stiehlt oder einen SIM-Tausch durchführt? Dies gibt dieser Person fast uneingeschränkten Zugriff auf Ihr digitales Leben, einschließlich Ihrer Bank- und Finanzkonten.

  Finden Sie MoviePass-Kinos in Ihrer Nähe mit Ihrer Postleitzahl

Wie funktioniert ein SIM-Swap-Angriff? Nun, es hängt davon ab, dass der Angreifer einen Mitarbeiter einer Telefongesellschaft dazu bringt, Ihre Telefonnummer auf eine SIM-Karte zu übertragen, die er oder sie kontrolliert. Dies kann entweder telefonisch oder persönlich in einem Telefongeschäft geschehen.

Um dies zu erreichen, muss der Angreifer ein wenig über das Opfer wissen. Glücklicherweise sind die sozialen Medien voller biografischer Details, die eine Sicherheitsfrage täuschen könnten. Ihre erste Schule, Ihr Haustier oder Ihre erste Liebe und der Mädchenname Ihrer Mutter sind wahrscheinlich alle auf Ihren sozialen Konten zu finden. Wenn das fehlschlägt, gibt es natürlich immer Phishing.

SIM-Swapping-Angriffe sind kompliziert und zeitaufwendig, was sie besser für gezielte Angriffe gegen eine bestimmte Person geeignet macht. Es ist schwer, sie im Maßstab zu ziehen. Es gibt jedoch einige Beispiele für weit verbreitete SIM-Swapping-Angriffe. Eine brasilianische Bande des organisierten Verbrechens war in der Lage, 5.000 Opfer der SIM-Karte auszutauschen über einen relativ kurzen Zeitraum.

Ein „Port-Out“-Betrug ist ähnlich und beinhaltet das Entführen Ihrer Telefonnummer, indem Sie sie auf einen neuen Mobilfunkanbieter „portieren“.

Wer ist am stärksten gefährdet?

Aufgrund des erforderlichen Aufwands haben SIM-Swapping-Angriffe in der Regel besonders spektakuläre Ergebnisse. Das Motiv ist fast immer finanzieller Natur.

In letzter Zeit waren Kryptowährungsbörsen und Wallets beliebte Ziele. Diese Popularität wird durch die Tatsache verstärkt, dass es im Gegensatz zu traditionellen Finanzdienstleistungen bei Bitcoin keine Rückbuchung gibt. Sobald es gesendet wurde, ist es weg.

Darüber hinaus kann jeder eine Kryptowährungs-Wallet erstellen, ohne sich bei einer Bank registrieren zu müssen. So kommt man der Anonymität in Bezug auf Geld am nächsten, was es einfacher macht, gestohlene Gelder zu waschen.

Ein bekanntes Opfer, das dies auf die harte Tour gelernt hat, ist Bitcoin-Investor Michael Tarpin, der bei einem SIM-Swapping-Angriff 1.500 Coins verlor. Dies geschah nur wenige Wochen, bevor Bitcoin seinen höchsten Wert aller Zeiten erreichte. Zu dieser Zeit betrug das Vermögen von Tarpin über 24 Millionen US-Dollar.

  Gestenbasierte Rechner-App, die Ergebnisse speichert [Paid]

Als ZDNet-Journalist Matthew Miller, Opfer eines SIM-Swap-Angriffs, versuchte der Hacker, Bitcoin im Wert von 25.000 US-Dollar über seine Bank zu kaufen. Glücklicherweise konnte die Bank die Belastung rückgängig machen, bevor das Geld sein Konto verließ. Der Angreifer war jedoch immer noch in der Lage, Millers gesamtes Online-Leben zu zerstören, einschließlich seiner Google- und Twitter-Konten.

Manchmal besteht der Zweck eines SIM-Swapping-Angriffs darin, das Opfer in Verlegenheit zu bringen. Diese grausame Lektion hat der Gründer von Twitter und Square, Jack Dorsey, am 30. August 2019 gelernt. Hacker hat seinen Account gekapert und postete rassistische und antisemitische Beinamen in seinen Feed, dem Millionen von Menschen folgen.

Woher wissen Sie, dass ein Angriff stattgefunden hat?

Das erste Anzeichen für ein SIM-Swapping-Konto ist, dass die SIM-Karte alle Dienste verliert. Sie können über Ihren Datentarif keine SMS oder Anrufe empfangen oder senden oder auf das Internet zugreifen.

In einigen Fällen sendet Ihnen Ihr Telefonanbieter möglicherweise eine SMS, die Sie darüber informiert, dass der Tausch stattfindet, kurz bevor Sie Ihre Nummer auf die neue SIM-Karte übertragen. Das ist mit Miller passiert:

„Am Montag, den 10. Juni, um 23:30 Uhr schüttelte meine älteste Tochter meine Schulter, um mich aus dem Tiefschlaf zu wecken. Sie sagte, dass mein Twitter-Account anscheinend gehackt wurde. Es stellte sich heraus, dass die Dinge viel schlimmer waren.

Nachdem ich aus dem Bett gerollt war, nahm ich mein Apple iPhone XS und sah eine SMS mit der Aufschrift „T-Mobile-Alarm: Die SIM-Karte für xxx-xxx-xxxx wurde gewechselt. Wenn diese Änderung nicht autorisiert ist, rufen Sie 611 an.’“

Wenn Sie noch Zugriff auf Ihr E-Mail-Konto haben, sehen Sie möglicherweise auch seltsame Aktivitäten, einschließlich Benachrichtigungen über Kontoänderungen und Online-Bestellungen, die Sie nicht aufgegeben haben.

Wie sollten Sie reagieren?

Wenn es zu einem SIM-Swapping-Angriff kommt, ist es entscheidend, dass Sie sofort und entschlossen handeln, um eine Verschlechterung der Situation zu verhindern.

Rufen Sie zuerst Ihre Bank- und Kreditkartenunternehmen an und beantragen Sie eine Sperrung Ihrer Konten. Dadurch wird verhindert, dass der Angreifer Ihr Geld für betrügerische Einkäufe verwendet. Da Sie auch effektiv Opfer eines Identitätsdiebstahls geworden sind, ist es auch ratsam, sich an die verschiedenen Kreditauskunfteien zu wenden und eine Sperrung Ihres Kredits zu beantragen.

  10 Möglichkeiten, Ihr Slack-Konto zu personalisieren

Versuchen Sie dann, den Angreifern „vorzueilen“, indem Sie so viele Konten wie möglich auf ein neues, unbeflecktes E-Mail-Konto verschieben. Trennen Sie Ihre alte Telefonnummer und verwenden Sie starke (und völlig neue) Passwörter. Wenden Sie sich bei Konten, die Sie nicht rechtzeitig erreichen können, an den Kundenservice.

Schließlich sollten Sie die Polizei kontaktieren und Anzeige erstatten. Ich kann es nicht oft genug sagen – Sie sind Opfer eines Verbrechens. Viele Hausratversicherungen bieten Schutz vor Identitätsdiebstahl. Wenn Sie einen Polizeibericht einreichen, können Sie möglicherweise einen Anspruch gegen Ihre Police geltend machen und etwas Geld zurückfordern.

So schützen Sie sich vor einem Angriff

Natürlich ist Vorbeugen immer besser als heilen. Der beste Schutz vor SIM-Swapping-Angriffen besteht darin, einfach keine SMS-basierte 2FA zu verwenden. Glücklicherweise gibt es einige überzeugende Alternativen.

Sie können ein App-basiertes Authentifizierungsprogramm wie Google Authenticator verwenden. Für eine weitere Sicherheitsstufe können Sie einen physischen Authentifikator-Token wie den YubiKey oder Google Titan Key kaufen.

Wenn Sie unbedingt text- oder anrufbasierte 2FA verwenden müssen, sollten Sie in Erwägung ziehen, in eine dedizierte SIM-Karte zu investieren, die Sie nirgendwo anders verwenden. Eine andere Möglichkeit ist die Verwendung einer Google Voice-Nummer, die jedoch in den meisten Ländern nicht verfügbar ist.

Selbst wenn Sie app-basierte 2FA oder einen physischen Sicherheitsschlüssel verwenden, können Sie diese leider mit vielen Diensten umgehen und über eine SMS an Ihre Telefonnummer wieder Zugriff auf Ihr Konto erhalten. Dienste wie Google Advanced Protection bieten mehr kugelsichere Sicherheit für Personen, die Gefahr laufen, angegriffen zu werden, „wie Journalisten, Aktivisten, Wirtschaftsführer und politische Kampagnenteams“.

x