Hohe Geldbeträge erbeutet
SIM-Swapping: Festnahmen wegen Telefonnummern-Diebstahl in Deutschland
Der Bericht über erste Festnahmen aufgrund von SIM-Swapping in Deutschland passt ja ganz gut zu unserer Facebook-Meldung eben. Unter SIM-Swapping versteht man den virtuellen Diebstahl einer SIM-Karte. Kriminelle übertragen dabei fremde Telefonnummern auf eine eigene SIM, meist kommen hier eSIMs zum Einsatz, da die Telekom-Firmen hierfür mittlerweile recht einfache Wechsel-Tools bereitstellen.
Die Online-Aktivierung bzw. das Übertragen einer Telefonnummer auf eine eSIM kann teils online über die Kundenzentren von Telekom, Vodafone und O2 erledigt werden. Diese Funktion machen sich Kriminelle zunutze, die zuvor in den Besitz der Zugangsdaten der betroffenen Kunden gelangt sind. Einmal mehr wird Kunden hierbei die Fahrlässigkeit zum Verhängnis, ein und dasselbe Passwort für mehrere Onlinedienste zu nutzen. Die Hacker testen in öffentlich zugänglichen Datenbanken gefundene Login-Password-Kombinationen aus, bis sie fündig werden.
Die Süddeutsche Zeitung berichtet nun von einem aktuellen Fall und Festnahmen in Deutschland. Hacker in Nordrhein-Westfalen haben demnach mit dieser Masche teils hohe Geldbeträge erbeutet. Der Fall sollte einmal mehr als Mahnung verstanden werden, unbedingt starke und für jedes Konto eigene Passwörter zu verwenden. Wenn möglich, sollten zusätzlich verfügbare Autorisierungsmechanismen unbedingt aktiviert werden.
Twitter-Chef prominentes Opfer von SIM-Swapping
In den USA macht das Thema schon seit einiger Zeit die große Runde. Offenbar wurde auch der Twitter-Chef Jack Dorsey zum Opfer von SIM-Swapping. In seinem Fall hatten die Hacker allerdings scheinbar keine finanziellen Interessen, sondern nutzten den Zugang zu seinem Twitter-Konto, um über Dorseys Account rassistische Nachrichten abzusetzen.
Mittlerweile scheint bestätigt, dass sich die Angreifer in diesem Fall die Funktion, Tweets per SMS abzusetzen, zunutze machten. Als Identifikation zählt hier ausschließlich die Telefonnummer. Twitter hat diese Funktion wohl aufgrund des Vorfalls nun vorübergehend deaktiviert.
Und wie kann man mit ner geklauten eSIM nun Geld erbeuten? So von wegen gib mir 10000€, dann bekommst du deine Nummer zurück oder wie?
Abrechnung via Telefonabrechnung.
Drittanbietersperre einleiten.
Indem man z.B parallel Zugang auf die Bankkonten hat und die TAN’s per SMS zugestellt werden…
Das gibt‘s ja zum Glück nicht mehr/ kaum noch. phototan ist jetzt dran
Tag & Nacht die eigene und kostenpflichtige 0900 Rufnummer anrufen. Oder besser eine kostenpflichtige Rufnummer im Ausland anrufen.
Sogenannte Zwei-Faktor-Authorisierung?
Authentifizierung!
Autorisierung ist etwas komplett anderes!
Indem man auf Kryptobörsen das Passwort zurücksetzen lässt von dem Account des Opfers, bei akivierter 2FA Sicherheit lässt man dies durch die geswappte SIm zurücksetzen, genauso wie den Emailzugang. Schon hat man zugang zum Krypto & Emailkonto des Opfers und lässt ich die Kryptos wegtransferieren. Gibt viele beispiele dazu im netz.
Z.B. werden bei Bankkonten werden häufig noch mTAN (=SMS-TAN) für Überweisungen oder Authentifizierung genutzt – wenn man das Passwort und die dazugehörige Telefonnummer hat, hat man ggf. beide Faktoren.
Zusätzlich kann man mit einer Handy Nummer auch noch alle anderen möglichen Accounts-Passwörter „zurücksetzen“, wenn man mit Email anfängt könnte es auch eBay und Amazon von User treffen.
Tolle neue Welt! Esim super sicher. Brauchen
Ja auch nur wir Iphoneuser da ein zweiter
Simeinschub vermutlich 5ct die Marge bei Apple
drücken würde.
Ich glaub da ist eher der Latz das Problem :)
*Platz
Nicht nur Platz sondern Bequemlichkeit hat da einen größten Faktor – der Anwender kann direkt online per App eine neue eSIM kaufen/aktivieren statt in einen Laden zu laufen oder einen SIM-Automaten (z.B. am Flughafen) zu suchen zu müssen.
Verbrecher können das eSIM System beim Provider vermutlich genauso einfach umgehen als die physikalische SIM – weil die Telefonnummer ist ja nicht auf der Karte hinterlegt sondern nur in der provider Datenbank mit der Seriennummer der Karte verbunden!
Du hast den Beitrag nicht verstanden. Es werden keine eSim gestohlen sondern die Nummer von einer normalen Sim auf eine eSim umgezogen weil es viele Anbieter einfach mitmachen.
Ich hatte es vor 2 Wochen, dass wer mir meiner Nummer ein WhatsApp-Konto erstellt hat. Dabei nutze ich selbst kein WhatsApp und habe auch keinen Code per SMS erhalten, als besagtes Konto erstellt wurde. Hätte ein Freund mich nicht drauf hingewiesen, würde derjenige wohl weiterhin rumfaken. Fragte mich bis dato, wie derjenige das angestellt hat. Sicher war das hier im beschriebene der Trick.
Ok nein, hatte es nur überflogen. Kann nicht deswegen sein. Ich benutze überall unterschiedliche Passwörter und Twitter nutze ich auch nicht (genau so wenig wie Facebook oder Google oder sonst so was, nicht mal YouTube). Also weiter überlegen, wie man einfach so ein WhatsApp-Konto mit meiner Nummer hat erstellen können.
Doch, genau so könnte es gewesen sein. Man braucht ja nur eine Telefon Nummer für einen WA Account. Komisch wäre nur, dass ihr gleichzeitig die selbe Nummer genutzt habt. Und du hättest ja eine SMS mit dem Authentifizierungscode bekommen.
Teste mal, ob du noch SMS auf deiner Karte bekommst. Denn ein mögliches Szenario wäre folgendes: Jemand hat dein Kundenkennwort für den Provider erfahren, ruft die Hotline an und bestellt eine eSIM als Multi-SIM für deine Nummer. Die richtet er ein und schaltet diese auf den SMS-Empfang um (es kann immer nur eine Karte empfangen).
Jedenfalls würde ich dringend tätig werden, da ist was faul…
Ich vermute einfach du hast eine Rufnummer noch nicht ewig.
Weil ein Kollege hatte das mit einem neuen Vertrag. Da war die Nummer vom alten Nutzer noch bei WhatsApp registriert und er alte Nutzer kann sein Konto einfach weiter nutzen.
Das Problem erledigt sich erst wenn du selbst auf einem neuen Gerät die Nummer einrichtest. Dann wird das alte Gerät automatisch ausgesperrt.
Genau das passierte mir….