SIM-Tausch ist eine Art von Betrug, bei dem Kriminelle Ihre Identität stehlen können, indem sie die Telefonnummer entführen, indem sie ein Duplikat Ihrer SIM-Karte erhalten.
Leider ist nicht jedem bewusst, dass sich auf unserem Mobiltelefon etwas befindet, das für Kriminelle von großem Interesse sein kann und das Datendiebstahl und Identitätsdiebstahl in Gelddiebstahl von unserem Bankkonto oder unserer Kryptowährungsbrieftasche verwandeln kann.
Die Phasen des SIM-Austauschs
Diese Technik ist keine Folge einer Sicherheitsverletzung in unseren Geräten, sondern das Fehlen einer Implementierung strenger Überprüfungsprotokolle, wenn eine Kopie unserer SIM-Karte angefordert wird. Darüber hinaus wird diese Technik in Verbindung mit anderen Social-Engineering-Techniken verwendet, um Vorteile zu erzielen, da Kriminelle in diesem Fall den Zugriff auf die Bestätigungscodes anstreben, die Unternehmen, Plattformen und Bankunternehmen normalerweise an unsere Mobilgeräte senden.
In einer ersten Phase versuchen Kriminelle, die Anmeldeinformationen des Benutzers zu erhalten. Normalerweise beziehen sich diese auf Online-Banking, um den wirtschaftlichen Nutzen zu maximieren, obwohl dies, wie wir später sehen werden, nicht das einzige Ziel ist. Der Diebstahl von Anmeldeinformationen erfolgt normalerweise mithilfe traditioneller Social-Engineering-Techniken, z. B. mithilfe betrügerischer Websites, zu denen der Benutzer von einem per E-Mail gesendeten Link oder über eine falsche mobile Anwendung, die die Identität der Entitätsbank verkörpert, weitergeleitet wird.
Sobald die Anmeldeinformationen vorliegen, versuchen die Kriminellen, einen Klon der SIM-Karte des Opfers zu erhalten, um die Bestätigungscodes per SMS zu erhalten (doppelter Authentifizierungsfaktor). Zu diesem Zweck nutzen Cyberkriminelle die von einigen Betreibern häufig angeforderten Maßnahmen zur Überprüfung der schlechten Identität. Nachdem sie die persönlichen Daten ihrer Opfer beispielsweise über soziale Netzwerke gesammelt haben, rufen sie an oder erscheinen physisch in einem Geschäft der Telefongesellschaft, die für die SIM-Karte verantwortlich ist, die sie klonen möchten, um ein Duplikat der Karte anzufordern. Oft stellen Benutzer fest, dass ein Problem vorliegt, wenn sie kein Signal mehr auf ihrem Telefon haben.
AUCH: Lesen Sie hier, wie Jack Dorsey seinen Twitter-Account durch einen SIM-Tausch-Angriff verloren hat und wie Sie ihn verhindern können.
Es ist nicht ungewöhnlich, dass Kriminelle nicht zu viele Hindernisse haben, wenn es darum geht, dieses Duplikat der SIM-Karte zu erhalten, und dies ist ein ernstes Problem. Sobald dieses Duplikat erhalten wurde, können Kriminelle in ihrem Namen das Bankkonto des Opfers eingeben, Überweisungen vornehmen oder sogar Gutschriften anfordern. Bei der Bestätigung des Vorgangs haben sie kein Problem, da sie die Nachrichten mit dem doppelten Authentifizierungsfaktor (2FA) auf der geklonten SIM-Karte empfangen.
Andere Arten von SIM-Austauschangriffen
Kriminelle versuchen nicht nur, auf die Bankkonten ihrer Opfer zuzugreifen. Andere wertvolle Vermögenswerte sind Kryptowährungsbrieftaschen oder Onlinedienstkonten wie: Zum Beispiel die von Google.
Im letzteren Fall können die Cyberkriminellen, wenn sie die Anmeldeinformationen des Opfers erhalten haben, die 2FA umgehen, indem sie einen einmaligen Code per SMS anfordern. Sobald sie auf das Konto zugegriffen haben, können sie die Kontrolle über unser E-Mail-Konto, unsere Kontakte usw. haben.
Gleiches gilt für den Zugang zu anderen Diensten wie Facebook, Instagram, Tik Tok oder ähnlichem. Etwas, das den Online-Ruf des Opfers ruinieren kann und das Kriminelle ausnutzen, um es zu erpressen. Sie könnten zum Beispiel ansprechende Fotos und Gespräche führen und drohen, sie öffentlich zu machen, wenn kein Betrag akzeptiert wird.
Wir sollten auch andere Anwendungen nicht vergessen, die wir normalerweise für Überweisungen verwenden und die es uns auch ermöglichen, Geld zu speichern. Ein klares Beispiel wäre PayPal, das auch eine 2FA in Form einer SMS-Nachricht enthält und im Falle, dass die Kriminellen die Zugangsdaten und ein Klonen der SIM erhalten, nicht nur das gesparte Geld abheben, sondern sich auch als wir ausgeben können um Geld von unseren Kontakten anzufordern.
Angesichts des SIM-Austauschs
Die Bekämpfung dieser Bedrohung würde ein vollständiges Überdenken des Identitätsprüfungsverfahrens erfordern, das noch immer von vielen Banken und Online-Diensten durchgeführt wird. Leider ist es nicht immer möglich, die 2FA-Methode zu verwenden, die wir verwenden möchten, und dies zwingt uns zu drastischeren Maßnahmen. Eine dieser Maßnahmen wäre, unseren Betreiber zu kontaktieren und sicherzustellen, dass kein Klonen unserer Karte durchgeführt wird, es sei denn, wir fordern dies persönlich in einem Geschäft oder Büro mit einem Dokument an, das uns identifiziert.
In jedem Fall muss der Bediener in der Lage sein, unsere Anforderungen strikt einzuhalten, damit diese Maßnahme funktioniert, was in einigen Fällen recht schwierig ist. Als ob das nicht genug wäre, sind Fälle bekannt, in denen Kriminelle mit Mitarbeitern des Mobilfunkbetreibers zusammengearbeitet haben, was es schwieriger macht, diese schlechte Praxis zu blockieren.
