SIM-Tauschangriffe - Stehlen Sie alles von Ihren Bitcoins bis zu Ihren Instagram-Konten
Oft sieht und hört man Leute, die ein Passwort mit einem physischen Schlüssel vergleichen. Während es offensichtlich ist, woher die Parallelen kommen, gibt es einige Unterschiede. Ohne den Schlüssel können Sie beispielsweise die Tür nicht entriegeln. Der Zugriff auf ein Konto ohne das Kennwort ist jedoch möglich, und zwar dank eines Angriffs namens SIM-Tausch.
Table of Contents
Was ist SIM-Tausch?
Es ist auch als SIM-Hijacking oder als Port-Out-Betrug bekannt und hat einen der aussagekräftigsten Namen. Es geht darum, die Handynummer eines Opfers zu entführen und mit einer anderen SIM-Karte zu verwenden. Das Austauschen von SIM-Karten gibt es bereits seit einigen Jahren, und obwohl die Aufmerksamkeit der Mainstream-Medien noch nicht auf sie gerichtet ist, scheint sie an Beliebtheit zuzunehmen, insbesondere, wie wir gleich herausfinden werden, wenn sich jugendliche Cyberkriminelle im Aufwind befinden.
Wie funktioniert das alles?
SIM-Tausch ist eine Art Identitätsdiebstahl, und wie Sie inzwischen wissen sollten, wird Identitätsdiebstahl dadurch ermöglicht, dass Gauner Zugriff auf Ihre Daten haben. Es überrascht nicht, dass sie in diesem Fall Ihren Namen, Ihre Handynummer und in einigen Fällen einige andere Details benötigen. Es ist immer noch nicht klar, wie die genauen Mechanismen aussehen, aber eine kürzlich durchgeführte Motherboard-Untersuchung legt nahe, dass sich sowohl die Sicherheitsvorkehrungen als auch die Techniken zu ihrer Umgehung weiterentwickeln.
Vor ein paar Jahren haben die Gauner die Informationen des Opfers in einer durchgesickerten Datenbank gefunden und den Spediteur angerufen. Sie würden sich als Opfer ausgeben und behaupten, ihre SIM-Karte verloren zu haben. Sie würden sagen, dass sie einen anderen haben, und darum bitten, dass die Nummer dahin portiert wird. Damals waren die Sicherheitsprotokolle der Fluggesellschaften nicht perfekt. Der Kundendienstmitarbeiter würde nach der Sozialversicherungsnummer oder der Privatadresse des Opfers fragen, die Hacker würden sie bereitstellen und der Mobilfunkanbieter würde die Nummer gerne auf die falsche SIM-Karte portieren.
Nicht wenige Menschen wurden schwer verbrannt, und um weitere Probleme zu vermeiden, hatten die Mobilfunkanbieter keine andere Wahl, als die Authentifizierungsmechanismen zu aktualisieren. Das Spiel wurde schmutzig. Die Gauner begannen, Spediteurangestellte zu bestechen, die dabei halfen, die Handynummern einiger weniger Personen illegal auszutauschen. Die korrupten Arbeiter bekamen auch eine Menge Geld für ihre Zusammenarbeit - zwischen 80 und 100 Dollar pro Opfer.
Wofür wird der SIM-Austausch verwendet?
Die Strafverfolgung nimmt den SIM-Tausch ernst, und die Behörden sind einer Gruppe von Kriminellen auf der Spur, die eine ganze Reihe von Menschen mit dieser Technik betrogen haben. Im vergangenen Monat wurde der 20-jährige Joel Ortiz verhaftet, der angeblich die Handynummern von rund 40 Personen gekapert haben soll. Am 17. August wurde der erst 19-jährige Xzavier Narvaez zur Befragung wegen eines großangelegten SIM-Austauschs beigezogen. Grundsätzlich haben Teenager die Möglichkeit, die Telefonnummer eines anderen in die Hände zu bekommen. Leider sind die Ergebnisse weitaus ernster als ein paar Scherzanrufe.
Vor einiger Zeit haben Onlinedienstanbieter wie Google damit begonnen, dass Sie Ihre Telefonnummer zu Ihrem Konto hinzufügen. Es ist keine sinnlose Verfolgung und Datenerfassung. Die Idee ist, dass Google Sie über eine Textnachricht oder einen Anruf an die von Ihnen angegebene Nummer verifizieren kann, wenn Sie jemals den Zugriff auf Ihr Profil verlieren. Der gleiche Mechanismus zur Wiederherstellung des Kontos wird jetzt von den SIM-Tauschern missbraucht.
Wenn sie die Telefonnummer erfolgreich gekapert haben, müssen die Gauner schnell handeln, da der Spediteur vor dem Abschneiden des Opfers eine SMS-Benachrichtigung über die aktualisierte SIM-Karte sendet. Berichten zufolge verwenden SIM-Swapper die entführte Nummer, um Zugriff auf die E-Mail-Adresse des Opfers zu erhalten. Anschließend setzen sie die Passwörter für andere Online-Konten zurück. Sie bewegen sich ziemlich schnell und lassen fast keine Zeit für Reaktionen. Da die Gauner alle Texte und Anrufe des Opfers erhalten, wird die Zwei-Faktor-Authentifizierung häufig umgangen.
SIM-Swapper zielen jedoch nicht auf irgendjemanden ab. Die Untersuchung von Motherboard berichtete über einen geschäftigen Online-Marktplatz, auf dem gestohlene Instagram-Accounts mit interessanten Griffen wie "@Rainbow" für Hunderte und manchmal Tausende von Dollar gekauft und verkauft werden.
Apropos Instagram: Der bereits erwähnte Xzavier Narvaez tat, was jeder 19-Jährige tun würde - er nutzte die Image-Sharing-Plattform, um der Welt zu zeigen, wie teuer sein neuer Supersportwagen ist. Polizeibeamte vermuten, dass er es mit Bitcoins gekauft hat, die er gestohlen hat, nachdem SIM die Telefonnummern einiger bekannter Kryptowährungshändler ausgetauscht hatte. Im April reichte ein solcher Händler mit dem Namen Michael Terpin eine Klage gegen AT&T ein, in der behauptet wurde, er sei aufgrund der schlechten Sicherheitspraktiken des Carriers Opfer eines SIM-Tauschangriffs geworden, der ihn Kryptowährung im Wert von mehr als 20 Millionen US-Dollar gekostet habe.
Crooks verlieben sich immer mehr in das Austauschen von SIM-Karten, was keine Überraschung ist. Das Verhältnis von erforderlichen Fähigkeiten zu potenziellen Gewinnen ist für sie großartig, und es ist offensichtlich, dass Mobilfunkanbieter nicht genug tun, um die Angriffe zu vereiteln. Wir hoffen, dass sich dies bald ändern wird.
