Bild: Europol
Laut Europol besteht zudem die Möglichkeit, dass die Betrüger über andere Daten-Lecks und gehackte Accounts an alle Daten kommen, die sie für ihren Betrug benötigen.
Das Problem dabei ist, dass viele Mobilfunkanbieter für die Portierung einer Rufnummer oder für das Umwandeln in eine eSIM wenn überhaupt nur lasche Identitätsprüfungen durchführen. Wer im Besitz der Login-Daten für den Mobilfunkanbieter ist, oder sich gekonnt in einem Laden für den echten Kunden ausgibt, kann so schnell die Nummer übernehmen.
Problem Authentifizierung
Anschließend bekommt der Angreifer alle Nachrichten, die eigentlich dem Opfer zugestellt werden, und zum Beispiel Multi-Faktor-Authentifizierung oder Einmal-Passwort-Codes enthalten. Erfolgreiche SIM-Hijacking-Angriffe ermöglichen es Kriminellen, sich in die Bankkonten ihrer Opfer einzuloggen und Geld zu stehlen, ihre E-Mail- oder Social-Media-Konten zu übernehmen, sowie Passwörter von Konten zu ändern und Opfer aus ihren Konten auszusperren."Betrüger erfinden immer neue Wege, um Geld von den Konten ahnungsloser Opfer zu stehlen", sagte der amtierende Leiter des Europäischen Cyberkriminalitätszentrums von Europol, Fernando Ruiz. "Obwohl es scheinbar harmlos ist, beraubt der SIM-Tausch die Opfer nicht nur ihrer Telefone: SIM-Kidnapper können Ihr Bankkonto innerhalb weniger Stunden leeren", fügte er hinzu. "Die Strafverfolgungsbehörden rüsten sich gegen diese Bedrohung, wobei in ganz Europa koordinierte Aktionen stattfinden."
Bei den jetzt Festgenommenen handelt es sich um zwölf Personen, die verdächtigt werden, Teil eines Hacker-Rings zu sein, der bereits mehr als 3 Millionen Euro stehlen konnte.
"Diese kriminelle Bande, die sich aus Staatsangehörigen im Alter von 22-52 Jahren aus Italien, Rumänien, Kolumbien und Spanien zusammensetzt, schlug über 100 Mal zu und stahl pro Angriff zwischen 6.000 und 137.000 Euro aus Bankkonten ahnungsloser Opfer", so Europol.
"Die Kriminellen schafften es, die Online-Banking-Zugangsdaten der Opfer der verschiedenen Banken mit Hilfe von Hacking-Techniken wie dem Einsatz von Bank-Trojanern oder anderen Arten von Malware zu erlangen. Sobald sie diese Zugangsdaten hatten, beantragten die Verdächtigen ein Duplikat der SIM-Karten der Opfer, wobei sie den Mobilfunkanbietern gefälschte Dokumente zur Verfügung stellten.
Verteidigung gegen SIM-Swapping-Angriffe
Die Opfer merken zunächst oft gar nichts von dem Angriff. Laut Europol gibt es aber einige Maßnahmen die man zum Schutz ergreifen kann.Dazu gehört:
- Halten Sie die Software Ihrer Geräte auf dem neuesten Stand.
- Klicken Sie nicht auf Links oder laden Sie keine Anhänge herunter, die mit unerwarteten E-Mails kommen.
- Beantworten Sie keine verdächtigen E-Mails oder telefonieren Sie nicht mit Anrufern, die Ihre persönlichen Daten anfordern.
- Beschränken Sie die Menge der persönlichen Daten, die Sie online freigeben
- Versuchen Sie, eine Zwei-Faktor-Authentifizierung für Ihre Online-Dienste zu verwenden, anstatt einen Authentifizierungscode über SMS zu senden.
- Wenn möglich, verbinden Sie Ihre Telefonnummer nicht mit sensiblen Online-Konten.
- Richten Sie Ihre eigene PIN ein, um den Zugriff auf die SIM-Karte zu beschränken. Geben Sie diese PIN an niemanden weiter.
- Wenn Sie die mobile Verbindung verlieren, wo Sie normalerweise keine Probleme haben, sollten Sie sich sofort mit Ihrem Provider in Verbindung setzen. Hintergrund ist, dass es sich um den Moment des Hijacking handeln könnte.
- Je nachdem, was Ihr Mobilfunkanbieter sagt, müssen Sie möglicherweise schnell handeln und ihre Bank informieren.
Die Zentralstelle Cybercrime Bayern hatte vor kurzem einen ähnlichen Fall publik gemacht. Dabei wurde schon im vergangenen Jahr ein Betrug aufgedeckt, bei dem die Angeklagten aus Deutschland agierten und hohe Summen durch einen eSIM-Austausch ergaunerten.
Siehe auch: Online-Banking: Polizei stoppt groß angelegten Betrug mit eSIM-Karten