Sie haben die üblichen Maßnahmen ergriffen, um Ihre sensiblen Konten zu schützen. Sie verwenden ein eindeutiges Passwort. Sie haben Benachrichtigungen an Ihr Telefon gesendet. Aber ein Dieb könnte das alles immer noch mit einem einfachen „Hack“ umgehen, indem er Ihre Telefonnummer direkt vor Ihrer Nase stiehlt. Und jetzt gibt es eine neue Variante davon in freier Wildbahn.
Was ist SIM-Jacking?
Dieser Angriff wird SIM-Jacking genannt, bei dem jemand Ihre Telefonnummer auf eine SIM-Karte überträgt, die sich in seinem Besitz befindet. Anschließend brechen sie in Ihr Bankkonto ein (und in alle anderen Konten, die zur Verifizierung auf Telefonanrufe oder SMS angewiesen sind). Sie benötigen Ihr Passwort auch nicht. Es kann trivial sein, ein Passwort-Reset mit Zugriff auf diese Codes durchzuführen.
Wie Bleeping Computer berichtet, überspringen Angreifer bei diesem neuen Spinoff zum Thema SIM-Austausch Social Engineering und greifen direkt auf Ihr Mobilkonto zu. Wenn es ihnen gelingt, ein durchgesickertes, gestohlenes oder sogar erratenes Passwort einzustecken, können sie eine Funktion zum einfachen Telefonwechsel – das Scannen eines QR-Codes – nutzen, um Ihre Nummer auf die eSIM ihres Telefons zu übertragen. Eingebettete SIM-Karten sind in vielen modernen Telefonen zu finden und mit allen großen Mobilfunkanbietern kompatibel, sodass Diebstahl insgesamt weniger komplex ist.
Bisher musste ein erfolgreicher SIM-Tausch dadurch durchgeführt werden, dass man in ein Geschäft ging oder den Kundendienst anrief und dann einen Mitarbeiter davon überzeugte, den Wechsel vorzunehmen. Alternativ hat jemand von innen bei dem Betrug mitgeholfen.
Sie wissen sofort, ob Sie Opfer eines SIM-Jackings werden, da Ihr Telefon seinen Dienst verliert, da es nicht mehr mit Ihrem Konto verknüpft ist.
Wie schütze ich mich vor SIM-Jacking?
Um sich vor dieser neuen Art von SIM-Jacking zu schützen, sollten Sie für Ihr Mobilkonto ein eindeutiges, zufälliges und sicheres Passwort verwenden. Falls verfügbar, sollten Sie auch die Zwei-Faktor-Authentifizierung (2FA) aktivieren und/oder eine PIN für Kontoänderungen festlegen. (Hinweis: Eine PIN, die unbefugte Übertragungen von Telefonnummern zu einem neuen Mobilfunkdienst verhindert, trägt auch zu Ihrer allgemeinen Sicherheit bei, schützt jedoch nicht vor SIM-Austausch.)
Leider schützen nicht alle Mobilfunkanbieter Online-Konten mit 2FA, und diese Maßnahmen können SIM-Jacking durch Social Engineering nicht verhindern. Daher möchten Sie auch die Sicherheit Ihrer wichtigsten Konten erhöhen. Verwenden Sie äußerst komplexe (und lange) Passwörter, aktivieren Sie 2FA mit Software- oder Hardwareschlüsseln, sofern verfügbar, und stellen Sie sicher, dass das E-Mail-Konto, mit dem sie verknüpft sind, ebenfalls gut gesichert ist.
Zusätzliche Maßnahmen, die Sie ergreifen können, sind die Verwendung einer zweiten Telefonnummer für SMS-basiertes 2FA, wenn dies einfach nicht vermieden werden kann. Oder die Bank (und andere Dienste) zu Anbietern wechseln, die modernes, ordentliches 2FA anbieten. Wenn Sie sich für einen zweiten Mobilfunkanschluss entscheiden, können Sie Ihr altes Telefon auf einen günstigen Mobilfunktarif umstellen oder eine Google Voice-Nummer verwenden. (Allerdings werden Google Voice-Nummern nicht von allen Diensten für SMS 2FA unterstützt, da dabei der VOIP-Dienst verwendet wird. Um möglichen Betrug zu verhindern, verbieten einige Institutionen ihre Verwendung.)
Aber wenn Sie zunächst Ihr Passwortspiel stärken und stärkere Formen der 2FA verwenden, sind Sie bereits viel besser dran. Sie können sich unsere Vorschläge für gute Passwort-Manager ansehen, falls Sie noch keinen verwenden – und wenn Sie einen Überblick über die 2FA-Optionen benötigen, haben wir auch einen Leitfaden dazu.
