Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.
Mit dem Smartphones kann man einkaufen, das Bankkonto verwalten und das Berufsleben organisieren. Diese Vielfalt an Möglichkeiten und die damit verbundene Fülle an gespeicherten Informationen ruft Kriminelle auf den Plan. Denn wenn es gelingt, die Kontrolle über die SIM-Karte eines Mobiltelefons zu erlangen, dann kontrolliert man das Gerät. Durch das so genannte SIM-Swapping können Hacker genau diese Kontrolle erlangen, sagt der Leiter der auf Internetbetrug spezialisierten Watchlist Internet, Thorsten Behrens.
Mit gestohlenen Daten lassen sich Handys kapern
Um eine erfolgreiche SIM-Swapping-Attacke durchzuführen, versuchen die Kriminellen, an persönliche Daten der Anwenderinnen und Anwender zu kommen. Etwa durch Phishing-Mails, gezielte Telefonanrufe oder durch den Angriff auf Soziale Netzwerke. Wenn das gelingt, können die Hacker beim Mobilfunkanbieter ihrer Opfer ohne weiteres eine neue SIM-Karte beantragen, so Behrens. Etwa über das Kundenportal der Betroffenen, die Telefonhotline des entsprechenden Mobilfunkanbieters oder auch durch einen Besuch im Shop des Providers.
Schon der Besitz einer Handynummer und eines Kundenkennworts könne genügen, um ein Smartphone zu kapern. Einige Provider seien zwar mittlerweile dazu übergegangen, auch andere Informationen wie den Namen, das Geburtsdatum oder die Postleitzahl abzufragen – wenn es den Hackern aber gelungen ist, all diese Informationen zusammenzutragen, können sie sehr einfach eine neue SIM-Karte bestellen, ohne dass die Betroffenen es merken, so Behrens.
Mit der SIM-Karte das Bankkonto plündern
Mit der erbeuteten Chipkarte erhalten die Gauner Zugang zu den Onlinekonten der Opfer, etwa zu Onlineshops oder Social-Media-Plattformen. Das funktioniert relativ einfach, weil die Hacker die Kontoeinstellungen und Passwörter als vermeintlich legitime Nutzer natürlich nach Belieben ändern können. In manchen Fällen könne auch das Onlinebanking betroffen sein, sagt Behrens. Etwa, wenn die Bankgeschäfte nicht über eine Banking-App, sondern über den PC abgewickelt werden und bei der Transaktionsbestätigung eine SMS-TAN zur Authentifizierung genutzt wird.
Voraussetzung ist wie gesagt, dass es den Tätern gelingt, an Daten der Opfer zu kommen. Experten warnen in diesem Zusammenhang davor, persönliche Informationen unbedacht auf öffentlichen Internetseiten zu teilen. Die schlechte Nachricht: Wir geben oft mehr von uns bekannt, als uns bewusst ist. Etwa in sozialen Netzwerken wie Facebook oder Twitter. Schließlich sind diese Dienste genau dazu gedacht, uns zu präsentieren. Informationen wie der Name, das Geburtsdatum oder der Beruf sind dort fast zwangsläufig zu finden.
Soziale Netzwerke als Fundgrube für Hacker
Soziale Netzwerke bieten meist auch sehr persönliche Einblicke in das Familienleben der Nutzerinnen und Nutzer. Der Name der Kinder oder der Haustiere wird häufig preisgegeben. Auch diese Informationen können für Kriminelle unter Umständen hilfreich sein, um Rückschlüsse auf Benutzernamen und Passwörter zu ziehen, sagt Behrens.
Wenn ein Smartphone von Hackern übernommen worden ist, können diese auch die als weitgehend sicher geltende Zwei-Faktor-Authentifizierung (2FA) problemlos aushebeln, sagt der Watchlist-Internet-Experte. Vor allem deswegen, weil als zweiter Faktor häufig eine SMS an das Smartphone gesendet wird, mit der Anwenderinnen und Anwender ihre Identität bestätigen sollen. Diese SMS landet dann natürlich ebenfalls auf dem Handy der Kriminellen.
„SMS zur Zwei-Faktor-Authentifizierung ungeeignet“
Ursprünglich waren SMS-Nachrichten ja auch nur dazu gedacht, kurze Textnachrichten zu versenden. Als praktische Alternative zur E-Mail. Handynummern und Passwörter seien niemals dazu gedacht gewesen, als Sicherheitsmerkmal zu fungieren, so Behrens. Dies habe sich eher zufällig im Laufe der Zeit in diese Richtung entwickelt. Daher seien sie als Sicherheitsfaktor denkbar ungeeignet. Auch deswegen, weil SMS-Nachrichten von trainierten Hackern relativ leicht abgefangen werden können.
Anbieter von Onlinediensten sollten daher daran arbeiten, dass in Zukunft keine SMS-Nachrichten mehr genutzt werden können, um etwa Passwörter zu ändern oder Kundenkonten zurückzusetzen. Auch Anwenderinnen und Anwender sollten es vermeiden, eine SMS als zweiten Sicherheitsfaktor für solche Zwecke zu nutzen, sagt Behrens. Der Watchlist-Internet-Leiter empfiehlt stattdessen, auf Authentifizierungs-Apps wie den Google-Authenticator oder den Microsoft-Authenticator zu setzen. Alternativ bieten auch Hardware-Tokens wie der so genannte YubiKey eine sichere Möglichkeit, sich online zu identifizieren.
Wenn man mit dem eigenen Smartphone plötzlich nicht mehr telefonieren oder E-Mails versenden kann, obwohl kein technisches Gebrechen vorliegt, dann könne das ein Zeichen dafür sein, dass man Opfer von SIM-Swapping geworden ist. In so einem Fall sollte man umgehend den Provider informieren, die betroffene Karte sperren lassen und schleunigst eine neue SIM-Karte einsetzen, so der Watchlist-Internet-Chef.