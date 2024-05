Betrüger:innen werden nicht müde, neue und immer perfidere Maschen anzuwenden. Das sogenannte SIM-Swapping ist eine besonders dreiste Methode, bei der das gesamte Handy der Opfer gekapert wird.

Das Wichtigste in Kürze Jeder hat schon mal davon gehört und niemand ist sicher davor: fiese Betrugs-Maschen online oder am Telefon.

Das sogenannte SIM-Swapping gehört zu den besonders dreisten Taktiken.

Täter:innen übernehmen das Internet-Kundenkonto beim Mobilfunkprovider, dann bestellen sie dort eine eSIM für den Handyvertrag. So sind auch sensible Zugänge wie Mail oder Online-Banking schnell an der Reihe.

Vor dieser neuen Betrugsmasche warnt sogar schon das Landeskriminalamt Niedersachsen: SIM-Swapping. Täter:innen setzen dabei auf einen identitätsbasierten Betrug: Erst bringen sie die Kontrolle über die Mobilfunknummer des Opfers an sich. Das schaffen die Betrüger:innen, indem sie eine neue eSIM, sprich eine digitale SIM-Karte, bestellen und das Betrugsopfer so von seiner eigenen Nummer aussperren, wie unter anderem "zdf.heute" berichtet.

So gelangen die Betrüger:innen an Daten der Opfer

Dann geht der Datenklau erst richtig los: Die Täter:innen übernehmen das Kundenkonto ihres Opfers bei dessen Mobilfunkanbieter. Vor allen Dingen, wenn das Konto nicht durch eine Zwei-Faktor-Authentifizierung geschützt ist, ist das für die Betrüger:innen quasi ein Kinderspiel.

Nutzer:innen geben einige Daten wie etwa die Telefonnummer oder den vollständigen Namen oftmals von selbst preis. Für das Herausfinden der restlichen relevanten Daten wie E-Mail, Telefonnummer oder Passwörter haben die Täter:innen ein breites Spektrum an Möglichkeiten: Im Darkweb würden diese Datensätze günstig verkauft werden. Aufgrund von Datenlecks muss man demnach aber für viele Daten diesen Schritt noch nicht mal gehen.

Denn um sich gegenüber dem Anbieter zu identifizieren, "genügen in einigen Fällen relativ wenige Daten, die Nutzende häufig von selbst preisgeben", erklärte Anna Lena Fehlhaber, Spezialistin für Informatiksysteme und Sicherheit, gegenüber "zdf.heute".

Auch mehrfach gesicherte Konten nicht vor Betrüger:innen sicher

Doch auch wer die Mehrfach-Authentifizierung bei seinem Mobilfunk-Anbieter aktiviert hat, ist leider noch immer nicht vollständig sicher vor einem solchen Betrug. In diesem Fall geben sich die Täter:innen als vertraute Person oder Institution aus und fragen das Opfer nach einem Bestätigungscode.

Via Telefon wird man nach einem per SMS übermittelten Code gefragt. Sie rufen über eine Mobilfunknummer an und geben sich etwa als Paketbote aus: Es befinde sich eine Sendung in Zustellung.

Dieses könne aber aus Sicherheitsgründen oder wegen einer angeblich falschen Adresse nur ausgeliefert werden, wenn ein Code genannt wird, der per Kurznachricht kommt. Tatsächlich erhalten die Opfer dann eine SMS.

Doch der Code in der SMS kommt nicht von einem Paketdienst, sondern vom Mobilfunkanbieter, was die Opfer im Eifer des Gefechts übersehen. Denn es gibt Provider, die den Log-in beim Online-Kundenkonto nicht nur per Passwort, sondern auch per Einmal-SMS-Code anbieten, den jeder anfordern kann, der die Mobilfunknummer kennt.

Sobald im Konto angekommen, wird eine neue eSIM bestellt und auf einem Gerät installiert.

Meist können Kriminelle dann auch weitere Accounts vom Mail-Konto bis hin zum Onlinebanking übernehmen, wenn diese mit der Mobilfunknummer verknüpft sind, berichtet die Deutsche Presseagentur. Die SIM-Karte im Smartphone des Opfers hingegen wird mit Aktivierung der eSIM auf dem Gerät der Täter in der Regel automatisch deaktiviert.

Im Video: Fake-Kontakte bei Google - Experten warnen vor Airline-Betrugsmasche

LKA: SIM-Swapping ist "Totalschaden"

Laut LKA Niedersachsen ist ein erfolgreiches SIM-Swapping ein "Totalschaden" für die Opfer.

In so einem Fall seien nämlich zahlreiche weitere Missbrauchsszenarien denkbar, weil sich Passwörter von Onlinekonten und - Diensten meist per Mail zurücksetzen lassen.

Dem LKA ist etwa ein Fall bekannt, in dem es Kriminellen mit der Masche gelungen ist, das Mail-Konto eines Opfers zu übernehmen. Dort war ersichtlich, dass derjenige in Kryptowerte investiert hatte. Schließlich sei es den Tätern auch gelungen, diese Kryptowerte über einen erfolgreichen Transfer zu stehlen.

Doch was können Verbraucher:innen tun, um sich zu schützen? Schließlich scheint nur eine kleine Unachtsamkeit schon zur Katastrophe für Betroffene werden zu können.

Was sowieso immer gilt: Bei sensiblen Daten extreme Vorsicht walten lassen. Eine Aufforderung zur Weitergabe dieser Daten sollte die Alarmglocken läuten lassen, insbesondere am Telefon oder per Mail.

Zudem sollte man die Veröffentlichung persönlicher Daten, so weit es geht, eingrenzen. Auch kann man Services nutzen, die SMS-Betrug vermeiden, wie "zdf.heute" auflistet.

Opfer von SIM-Swapping geworden? Das ist jetzt zu tun

Und was, wenn man doch in die Falle getappt ist? Betroffene sollten als Allererstes die entsprechenden Anbieter und Dienste in Kenntnis setzen und Zugangsdaten rasch ändern.

Zudem gilt es zu prüfen, ob die Täter:innen Mail-Adressen oder Geräte hinterlegt haben, um weiteren Missbrauch im Keim zu ersticken.

Zu guter Letzt sollten die entsprechenden Konten gecheckt und der Betrugsfall sauber dokumentiert werden, um dann Anzeige erstatten zu können.