Cyber-Angreifer verwenden SIM-Karten-Scams, um Geld und Informationen zu stehlen
Die erste SIM-Karte wurde vor etwa 29 Jahren im Jahr 1991 entwickelt. Derzeit besteht eine gute Chance, dass sich mindestens eine SIM-Karte in Ihrer Nähe befindet, und obwohl Sie selten darüber nachdenken, wie dieser kleine Siliziumchip eingebettet ist In einem Stück Plastik wäre das ganz anders. Für die drahtlose Kommunikation sind SIM-Karten unverzichtbar. Sie unterstützen uns in den letzten Jahren auch bei der Internetverbindung. Wir werden nicht einmal die Armeen von SIM-fähigen Internet-of-Things-Gadgets erwähnen, die immer häufiger werden. Die Auswirkungen, die SIM-Karten in unserem Alltag haben, sind ziemlich groß, aber es könnte noch wichtiger sein, wenn Betrüger sie missbrauchen.
Table of Contents
SIM-Tausch in Aktion
Die britische Finanzwebsite ThisIsMoney.co.uk veröffentlichte kürzlich die Geschichte von Ryan Finnegan - einem 37-jährigen Schotten, der nach einem SIM-Swap-Angriff ein leeres Bankkonto sah. Wir haben in der Vergangenheit über SIM-Tausch gesprochen und in Ryan Finnegans Geschichte wird gezeigt, wie rücksichtslos diese Technik wirken kann.
Alles begann, als Herr Finnegan eine SMS von Tesco Mobile, seinem Mobilfunkanbieter, erhielt. Er dankte ihm dafür, dass er sich mit dem Kundendienst von telco in Verbindung gesetzt hatte. Die Sache war, er hatte eigentlich keine Kundendienstmitarbeiter kontaktiert. Er rief Tesco Mobile an, der ihm mitteilte, dass etwas Verdächtiges in der Tat vor sich gehen könne, aber da mit seinem Konto nichts sichtbar falsch war, bestand kein Grund zur Sorge.
Der Rat "Nicht schwitzen" war schlecht. Kurz darauf erhielt er eine weitere SMS, diesmal von der TSB, seiner Bank. Es bestätigte seine Online-Banking-Registrierung, was seltsam war, da er zuvor auf die Nutzung des Online-Banking-Systems verzichtet hatte. Bevor er reagieren konnte, hatten die Betrüger 2.500 Pfund von Herrn Finnegans Bankkonto abgebucht.
Telekommunikationsunternehmen und ihre Rolle beim SIM-Swap
Wir haben gesprochen in der Vergangenheit , wie die meisten Cyber - Attacken setzen auf einfache Social Engineering , anstatt uber-ausgefeilten Hacker und Zero-Day - Exploits. Wenn sich Kriminelle entscheiden, Gedankentricks zu spielen, wenden sie sich jedoch meistens direkt an das Opfer. Beim SIM-Swap setzen sie ihre Social-Engineering-Fähigkeiten in den Kundendienstabteilungen der Telekommunikationsunternehmen ein.
Die Aufgabe eines SIM-Swappers besteht darin, den Dienstanbieter zu überzeugen, die Nummer des Opfers auf eine andere SIM-Karte zu übertragen. Wie Sie aus dem Fall von Herrn Finnegan sehen können, können sie das Ziel übernehmen und alle möglichen Schäden anrichten, einschließlich der Umgehung der Zwei-Faktor-Authentifizierung und des Diebstahls von Geld.
In der Vergangenheit bedeutete das Übertragen einer Telefonnummer auf eine neue SIM-Karte, dass Sie in das Büro des Telekommunikationsunternehmens gingen und eine Art ID vorweisen mussten. Aus Bequemlichkeitsgründen lassen Telekommunikationsunternehmen Sie jetzt über das Telefon telefonieren, auch wenn die Nummer, von der Sie anrufen, nicht die ist, die Sie verschieben möchten.
Während der Untersuchung hat ThisIsMoney.co.uk einige der größten Mobilfunkanbieter in Großbritannien nach den Verfahren gefragt, wenn eine Nummer per Telefon übertragen wird. Tesco Mobile zog es vor, nicht zu kommentieren, der Bericht legt jedoch nahe, dass es sich um eine Sicherheitsfrage dreht. Im Fall von Herrn Finnegan war die Frage "Was ist Ihre Lieblingsfarbe?" anscheinend und die SIM-Swapper machten fünf aufeinanderfolgende Anrufe beim Kundendienst, bevor sie die Antwort richtig erraten hatten. Trotzdem konnte Tesco Mobile nichts Verdächtiges feststellen.
Der Rest der Service Provider hat auf ThisIsMoney.co.uk geantwortet, und die meisten von ihnen gaben an, dass auch sie sich auf Sicherheitsfragen verlassen. Die Mängel dieses speziellen Authentifizierungsmechanismus wurden in beträchtlicher Länge diskutiert. In der Tat benötigen die meisten Telekommunikationsunternehmen zusätzliche Informationen, bevor die Nummernübertragung gestattet wird, aber selbst im Zeitalter sozialer Netzwerke ist das bloße Vorhandensein von Sicherheitsfragen als Mittel zur Überprüfung der Identität eines Benutzers nicht akzeptabel.
Was können Benutzer beim SIM-Swap tun?
Ryan Finnegan hat sein Geld zurückbekommen, was eine gute Nachricht ist, aber man kann sagen, dass viele andere wie er nicht so glücklich sein werden. In jedem Fall ist die Verhinderung eines Angriffs weniger anstrengend als der Versuch, sich davon zu erholen. Also, was kannst du machen?
Der erste Schritt besteht wie immer darin, die Bedrohung kennenzulernen und zu erkennen, dass sie wirklich sehr real ist. Es ist leicht zu glauben, dass die Betrüger sich nicht mit Joe Average beschäftigen werden, aber Action Fraud, ein britischer Berichterstattungsdienst für Cybercrime, verzeichnete innerhalb von drei Jahren fast 550 erfolgreiche SIM-Tauschangriffe für mich "Mentalität wird dir keine Gefallen tun.
Erfahren Sie, wie Ihr Telekommunikationsanbieter mit der Übertragung von Telefonnummern umgeht, und prüfen Sie, wie Sie die Mechanismen nutzen können, die Ihnen aufgezwungen werden. Manchmal können Sie Sicherheitsfragen nicht entgehen, aber Sie können sie beim Schutz Ihrer Daten ein bisschen nützlicher machen. Es ist unwahrscheinlich, dass Betrüger beispielsweise den Namen Ihres Hundes "Dihydrogenmonoxid" nennen.
Und nicht zuletzt sollten Sie nach etwas Verdächtigem Ausschau halten, und wenn Sie etwas Falsches entdecken, verschwenden Sie keine Zeit, um dies den verantwortlichen Anbietern mitzuteilen.
