Woche 19: «SIM-Swapping» - wie eine SIM online gestohlen werden kann

16.05.2023 - Der Zugriff auf viele Anwendungen und digitale Dienstleistungen wird heute mit einer Zwei-Faktor-Authentifizierung geschützt. Dabei spielen Smartphones immer eine wichtigere Rolle. Nicht nur laufen die Anwendungen und Dienstleitungen auf dem Smartphone. Auch wird das Smartphone vielfach für die Erzeugung des zweiten Faktors verwendet, sei es durch einen Einmal-Passwort-Generator oder durch den Erhalt einer SMS. Daher versuchen Cyberkriminelle vermehrt Zugriff auch auf diese Geräte zu erlangen, um an alle benötigten Faktoren zu gelangen. In einer aktuell dem NCSC vorliegende Meldung verwendeten die Angreifer dazu eine Technik mit dem Namen «SIM-Swapping».

Die Smartphones werden in fast allen Bereichen des Lebens immer wichtiger. Auch im Sicherheitsbereich ist der Einsatz bereits heute zentral um beispielsweise einen zweiten Faktor bei einem Login zu empfangen oder zu erzeugen. Für Angreifer ist es daher attraktiv Zugriff auf das Telefon eines Opfers zu erhalten, um an alle Faktoren zu gelangen. Das NCSC berichtete in der Woche 5 bereits darüber, wie Angreifer die Telefon-Provider-Login-Daten abphishen. Mit diesen Logins können die Angreifer – neben der Nutzung von Bezahldiensten – auch einen Angriff durchführen, der sich «SIM-Swapping» oder «SIM swap attack» nennt. Ein solcher Fall wurde dem NCSC aktuell gemeldet.

Was passiert bei «SIM-Swapping»?

Als erstes hat die betroffene Person festgestellt, dass der Abruf der E-Mail-Konten nicht mehr möglich war. Also versuchte sie sich direkt am Webmail einzuloggen. Dieser Versuch scheiterte, da der zweite Faktor zwar versendet, aber auf dem Smartphone nicht empfangen wurde. Das Opfer bemerkte dadurch, dass die Telefonnummer blockiert war und weder Telefongespräche geführt noch SMS-Nachrichten gesendet oder empfangen werden konnten.

Im Nachhinein stellte das Opfer fest, dass es wohl auf einen Telefon-Provider-Phishing-Link geklickt und die Login-Daten eingegeben hatte, ohne das Phishing zu bemerken. Mit diesen abgefangenen Daten konnten sich die Angreifer im Portal des Telefon-Providers anmelden und eine neue SIM-Karte bestellen.

Bestellmaske eines Telefon-Providers. Eine Ersatz-SIM zu bestellen ist nach einem Login einfach
Bestellmaske eines Telefon-Providers. Eine Ersatz-SIM zu bestellen ist nach einem Login einfach

Über die Bestellmaske im Portal kann eine physische SIM-Karte oder eine neue elektronische eSIM bestellt werden. Da eSIM ohne physischen Träger lediglich als QR-Code übermittelt werden, sind diese auch sofort auf einem neuen Telefon aktivierbar.

Bestellmaske eines Telefon-Providers. Als Bestellmöglichkeit bietet sich die eSIM an. Da über das Portal auch die Adresse gewechselt werden kann, könnten sich die Angreifer theoretisch die SIM auch irgendwohin senden lassen.
Bestellmaske eines Telefon-Providers. Als Bestellmöglichkeit bietet sich die eSIM an. Da über das Portal auch die Adresse gewechselt werden kann, könnten sich die Angreifer theoretisch die SIM auch irgendwohin senden lassen.

Ab diesem Zeitpunkt haben die Angreifer Zugriff auf alle Logins, welche über diese Telefonnummer laufen. Auch die zweiten Faktoren, welche per SMS übertragen werden, können so abgefangen werden.

Das Opfer hat dank dem Ausbleiben der E-Mails den Angriff frühzeitig erkannt und konnte die eSIM der Angreifer deaktivieren lassen.

Schnell reagieren

Sobald Anmeldungen auf Apps nicht mehr funktionieren oder ein Logout aus aktivierten Apps festgestellt wird, Social Media oder E-Mail-Nachrichten nicht mehr empfangen werden und zusätzlich auch weder Telefonanrufe getätigt noch SMS versendet oder empfangen werden können, obwohl das Telefon Netzempfang anzeigt, sollte reagiert werden.

  • Vorsicht vor Phishing-Nachrichten im Namen der Telefon-Provider;
  • Kontaktieren Sie sofort ihren Telefon-Provider, falls Sie die im letzten Abschnitt genannten Symptome feststellen;
  • Aktivieren Sie wann immer möglich die Multi-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene zu schaffen;
  • Geben Sie Ihre Passwörter oder Zugriffcodes niemals an Dritte weiter.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 16.05.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2023/wochenrueckblick_19.html