Es hört sich alles ganz harmlos an und hat sicherlich eine Menge Vorteile: „Swapping“. In der Computerwelt ist es Vorgang, Daten auf ein anderes Medium zu transferieren, um beispielsweise mehr Speicher und Arbeitskapazität zu gewinnen. Unangenehm wird es aber, wenn Kriminelle Daten widerrechtlich auf ein fremdes Handy umleiten. Wie das funktioniert, hat luckx – das magazin recherchiert.
Datendiebstahl
Und das funktioniert so: Das Handy wird inzwischen sehr häufig für den Zugang zum eigenen Onlinekonto oft als zweiter Faktor für den Identitätsnachweis genutzt. Passwörter oder SMS werden auf das Handy gesandt und so der Zugang freigegeben. Die Betrugsmethode SIM-Swapping setzt genau an dieser Stelle an. Zunächst verschaffen sich die Kriminellen Zugriff auf die Handynummer bzw. die SIM-Karte ihres Opfers. Sind sie damit erfolgreich, werden alle SMS und Anrufe auf ein fremdes Handy umgeleitet. Wie funktioniert die Methode und wie können Sie sich schützen?
Mobilfunknummern sind mit der Zeit immer wichtiger geworden. Inzwischen sind sie regelmäßig auch mit den Social-Media-Konten verknüpft oder notwendig, um solche Accounts wiederherzustellen. Und speziell bei Bankgeschäften wird das Mobiltelefon oft zum Einloggen zum Onlinebanking verwendet oder ist für die Freigabe von Aufträgen wichtig. Denn grundsätzlich muss jede einzelne Überweisung, jedes Wertpapiergeschäft oder jeder Anmeldevorgang zusätzlich mit einer Transaktionsnummer (TAN) freigegeben werden. Je nach TAN-Verfahren funktioniert das z. B. über die photoTAN-App oder per SMS.
Mobilfunknummer missbraucht
Missbrauchen Kriminelle die Mobilfunknummer, können sie SMS und Anrufe weiterleiten. Zudem können Online- oder E-Mail-Konten übernommen werden, sobald die Mobilfunknummer über die Funktion „Passwort vergessen“ mit den betreffenden Konten verknüpft ist. Gelangen Kriminelle zudem an die Zugangsdaten zum Onlinebanking, können sie mit den TANs selbst Überweisungen vom Konto auf fremde Konten vornehmen.
Ein Weg wie Kriminelle an die SIM-Karte gelangen können: Sie täuschen den Mobilfunkanbieter über ihre Identität. Dem Mitarbeiter der Kundenhotline gegenüber oder über das Kundenportal geben sie sich überzeugend als Besitzer dieser Telefonnummer aus und beantragen eine neue SIM-Karte.
Die Geschichte, die dabei erzählt wird, kann beispielsweise wie folgt lauten: Das Handy mit der SIM-Karte sei verloren gegangen und nun benötige man eine neue SIM-Karte. Oder: Für das angeblich neue Smartphone passt das Format der SIM-Karte nicht mehr, daher wird dringend eine neue Karte benötigt. Der Mobilfunkanbieter könnte dann die Telefonnummer für eine neue SIM-Karte aktivieren. Was folgt, ist für die Kriminellen einfach umzusetzen: Sie greifen den Brief mit der neuen SIM-Karte ab oder lassen sich noch einfacher die SIM-Karte an eine „neue“ Adresse schicken.
In einer anderen Variante dieser Betrugsmethode kündigen die Kriminellen den Mobilfunkvertrag und beantragen die Rufnummernmitnahme zu einem neuen Mobilfunkanbieter.
Grundsätzlich lassen Mobilfunkanbieter natürlich Sorgfalt walten und geben nicht einfach neue SIM-Karten heraus. Zudem stellen sie meist hohe Anforderungen an die Kündigung eines Mobilfunkvertrages. Aber dennoch ist es möglich, dass Kriminelle es schaffen, mit ihrer Lügengeschichte durchzukommen: mit zusätzlich persönlichen Informationen, die sie vorab im Internet ausgespäht oder über die sozialen Netzwerke gesammelt wurden. Auch Phishing ist eine beliebte Methode, um solche Daten abzugreifen. Die Betrüger können dann dem betroffenen Mitarbeiter gegenüber unter Umständen mit Informationen über Ihre Geburtsdaten, Ihre Adresse oder ein Kundenkennwort aufwarten.
SIM-Swapping und sich davor schützen
Wer aufmerksam bleibt und ein gesundes Misstrauen an den Tag legt, kann diese Angriffsmethode schnell aufdecken. Ein Indiz dafür, dass jemand die Rufnummer quasi gestohlen haben könnte, ist beispielsweise, wenn von eigenen Handy keine SMS mehr versandt werden können. Ein weiteres, dass auch Telefonate oder Anwendungen, die über die mobilen Daten laufen, nicht mehr möglich sind. Doch vorher ist zu prüfen, ob es sich nicht doch um ein Funkloch handeln könnte.
So lassen sich bei vielen Mobilfunkanbietern für die Kontaktaufnahme eine PIN oder eine Sicherheitsfrage hinterlegen, die in allen Angelegenheiten rund um Ihren Mobilfunkvertrag zunächst abgefragt wird.
Das sollte eine PIN oder eine Sicherheitsfrage sein, die bei keinem anderen Anbieter verwandt wird. Idealerweise sollte es für Außenstehende nicht möglich sein, auf diese über eine Recherche im Internet oder über die sozialen Netzwerke zu stoßen oder aus dort gefundenen Inhalten abzuleiten.
Vom Mobilfunkanbieter lässt sich über alle Aktivitäten rund um das eigeneTelefon bzw. SIM-Karte informieren. Jeder Auftrag ist deshalb noch einmal auf einem anderen Weg zu bestätigen, wie beispielsweise über eine Push-Nachricht.
Gerade weil Kriminelle gern die Daten ihrer späteren Opfer ausspähen, sollten sämtliche Informationen, die im Internet und vor allem über die Social Media Accounts veröffentlicht werden, sparsam benutzt werden. Also nicht mehr von sich preis als unbedingt nötig.
Starke Passwörter werden für alle Ihre Konten benötigt. Wichtig: Jedes Konto braucht ein eigenes Passwort. Wichtig: Also nicht nur ein Passwort für alle! Ein starkes Passwort zu genieren erscheint auf den ersten Blick als große Herausforderung, aber tatsächlich ist es relativ einfach: Beispielsweise ein Satz, der als kurios empfunden wird, wie folgendes Beispiel verdeutlich: „Trinke Dein viertes Bier immer heimlich unter dem Tisch!“ Dieser Satz lässt sich gut merken, weil er kurios ist. Nun lässt sich aus den Anfangsbuchstaben bzw. Satzzeichen und Ziffern ein so genanntes starkes Passwort: „TD4.BihudT!“. Übrigens: Längere Passwörter sind schwerer zu knacken. So sollte das Passwort also eine gewisse Länge haben.
Mit abgefischten Informationen fragen Kriminellen für sie wichtige persönliche Informationen ab. So unbedingt nicht auf Links in SMS oder E-Mails klicken. Banken fragen niemals persönliche Daten über Links ab.
Wichtig ist, alle Kontobewegungen im Blick zu behalten. Deshalb sollte ein bis zweimal in der Woche die Kontoumsätze angeschaut werden. Fällt etwas Ungewöhnliches auf, ist sofort die Bank zu kontaktieren.