In Florida ist ein SIM-Hacker vor Gericht gekommen, der zusammen mit einem Ring von Kriminellen per SIM-Swapping Hunderttausende US-Dollar erbeutet haben soll, berichtet The Verge. Die Methode thematisierten IT-Medien in den USA erst vor wenigen Wochen. Der Betrug fiel auf, weil eine Mutter ihren Sohn dabei belauschte, wie dieser sich als AT&T-Angestellter ausgab.


Ansatzpunkt: Zwei-Faktor-Authentifizierung per SMS
In einem Bericht vom 17. Juli erklärte die Seite Motherboard den Hack. Die Gauner zielten dabei auf Instagram-Nutzer ab, die kurze oder eindeutige Namen verwendeten, sowie Bitcoins besitzen. Sie erfassen die Telefonnummern ihrer Opfer und versuchen, die Telefonnummer auf eine eigene SIM umziehen zu lassen. Dazu veranlassen sie den telefonischen Support der Mobilfunkanbieter den Umzug vorzunehmen. Obwohl die Methode bei den Unternehmen bekannt sei, funktioniere sie immer noch in vielen Fällen. Sobald die Hacker den Umzug erreicht haben, setzen sie alle Passwörter zurück, die mit ihr verknüpft sind. In vielen Fällen gelänge es dabei den Kriminellen, die Zwei-Faktor-Authentifzierung zu umgehen, berichtet das Medium weiter. Daher sei die Kontrolle über eine Telefonnummer so mächtig.

Hacking-Ring stiehlt Identitäten in sieben US-Staaten
Die nun aufgetauchten Gerichtsakten belegen den Fall einer Gruppe von Identitätsdieben, die "Hunderttausende" US-Dollar in Kryptowährung ergaunert haben. Eine Mutter belauschte ihren Sohn als sich dieser am Telefon als AT&T-Mitarbeiter ausgab und informierte die Behörden. Die Polizei fand bei der darauffolgenden Durchsuchung entsprechende Dokumente und eine Liste von Namen und Telefonnummern zusammen mit SIM-Karten und Handys. Die sieben Opfer kamen aus verschiedenen Bundesstaaten. Drahtzieher der Bande war anscheinend ein Mann namens Ricky Handschumacher. Er und die anderen sieben Gauner gaben sich entweder als Mobilfunkangestellte aus oder bezahlten solche, um an eine neue SIM-Karte mit den gestohlenen Information zu kommen. Daraufhin hätten die Kriminiellen alle an die Telefonnummer gebundenen Passwörter knacken können – inklusive derer für die Krypto-Währungskonten. Handschumacher soll nach eigenen Angaben mehr als 100.000 Dollar durch Kryptowährungstausch gewaschen haben. Der erste prominente Fall von SIM-Swapping samt Bitcoin-Diebstahl kam Anfang Juli heraus, ein 20-Jähriger hatte fünf Millionen Dollar über die Methode erbeutet.

Instagram will gegensteuern
Aufgrund der Anfälligkeit von Zwei-Faktor-Authentifizierung per SMS hat Instagram bereits angekündigt, eine weitere Form der Identifikationsroutine ohne SMS-Verwendung anzubieten. Das System soll unabhängig von Telefonnummern arbeiten und Sicherheitsanwendungen wie Google Authentificator und Duo kombinieren. Dazu wird ein spezieller Code erstellt, der nicht auf einem anderen Telefon generiert werden kann. Hinweise darauf hat man bereits im Code der Android-Anwendung gefunden: Dort sei ein Erklärungsbildschirm versteckt, der bereits die Unterstützung von Google Authentificator und Duo hervorhebe, obwohl die Funktion noch nicht implementiert sei, berichtete TechCrunch.

Gegenmaßnahmen über die Mobilfunkanbieter möglich
Während amerikanische Mobilfunkanbieter erst kürzlich zusätzliche Berechtigungsnachweise installierten, ist das zum Teil in Deutschland bereits geschehen. So müssen Kunden bei einigen seit jeher einen speziellen Passcode angeben (bei O2 gibt es zB. ein Kundenkennwort, das genannt werden muss) oder über die Onlineseite das Login-Kennwort ein weiteres Mal eingeben. Es sind zur Zeit keine Fälle von SIM-Swapping in Deutschland bekannt.