Betrug durch SIM-Swapping: Ein Guide zur Vorbeugung

SIM-Swapping erlebt gerade einen Senkrechtstart als unter Cyberkriminellen beliebteste Form des Angriffs. Laut der britischen National Fraud Database ist Betrug durch SIM-Swapping 2024 über 1.000 % in die Höhe geschnellt. Hacker übertragen die Mobilfunknummer eines Opfers auf eine eigene SIM, sodass sie per SMS versendete Codes zur Zwei-Faktor-Authentifizierung (2FA) abfangen, Passwörter zurücksetzen und uneingeschränkten Zugang zu allem, von Bankkonten bis E-Mail und Social- Media-Profilen, erlangen können. 

Diese Taktik war vermutlich bei den jüngsten Cyberattacken auf Marks and Spencer und Co-Op im Einsatz, als Social Engineering genutzt wurde, um Mitarbeiter am Service Desk zu täuschen. Wenn Hackergruppen solche Erfolge erleben, ist es unwahrscheinlich, dass dieser Trend wieder abebbt. Hier nehmen wir die technische Mechanik von Angriffen per SIM-Swap auseinander und schlagen eine mehrschichtige Verteidigungsstrategie vor, die die Mobiltelefone Ihrer Endnutzer den virtuellen Händen von Kriminellen entzieht. 

Was ist SIM-Swapping?

SIM-Swapping (auch bekannt als SIM-Hijacking) ist eine Form des Identitätsdiebstahls, bei der ein Angreifer einen Mobilfunkdienst überzeugt, die Telefonnummer eines Opfers auf eine SIM-Karte zu transferieren (oder portieren), die unter der Kontrolle des Angreifers ist. Ist der Swap einmal abgeschlossen, werden alle Anrufe, Textnachrichten und Einmal-Authentifizierungscodes (bei 2FA im Einsatz), die an die Nummer des Opfers gehen sollten, an das Gerät des Angreifers gesendet.

Ein Angreifer wird typischerweise durch Phishing, Social Engineering oder Datenschutzverletzungen persönliche Daten (z. B. Geburtsdatum, Adresse, Sozialversicherungsnummer) sammeln und dann diese Informationen benutzen, um sich als das Opfer auszugeben, wenn er den Kundendienst dessen Mobilfunkanbieters kontaktiert. Nachdem er die Nummer des Opfers damit quasi gehijackt, also gekapert, hat, bittet der Angreifer um Passwortzurücksetzungen und fängt die Verifizierungscodes ab, wobei er den wahren Nutzer effektiv ausschließt. Passiert dies einem Mitarbeiter Ihrer Organisation, ist das ein potenzielles Einfallstor für einen Hacker.

SIM-Swapping ist nicht Neues – es tauchte erstmals in den frühen 2010er Jahren auf, als die Portabilität von Mobilfunknummern weite Verbreitung fand und Hacker begriffen, dass sie die Nummernportierungsprozesse der Mobilfunkanbieter für die Übernahme von Accounts missbrauchen konnten. Allerdings beschleunigte es sich erst etwa um 2014–2015 zu einer Bedrohung größeren Ausmaßes, als Angreifer die Ausforschung von persönlichen Informationen zwecks Social Engineering perfektionierten und 2FA per SMS zum Standard wurde.

Warum gewinnt Betrug per SIM-Swap an Verbreitung?

Hacker werden von SIM-Swap-Betrug angezogen, weil er einen hohen Ertrag bei relativ geringem Einsatz bietet. Indem er eine Telefonnummer kapert, kann ein Angreifer 2FA per SMS umgehen, ohne dass er komplexe Passwort-Hashes knacken oder Zero-Day-Schwachstellen von Software ausnutzen muss. Die Vorabkosten sind minimal (oft nur ein paar Phishing-E-Mails oder ein schneller, manipulativer Anruf beim Mobilfunkdienst), aber der potenzielle Gewinn kann enorm sein, wenn sie eine große Organisation verletzen, wie es Scattered Spider angeblich mit Marks and Spencer getan hat.

SIM-Swapping ist also hoch skalierbar. Haben Betrüger einmal ihre Textvorlagen für das Social Engineering verfeinert und eine kleine Pipeline kompromittierter persönlich identifizierbarer Informationen (durch Phishing, Datendiebstahl oder Social-Media-Datenerhebung) aufgebaut, können sie Dutzende oder sogar Hunderte Opfer in kurzer Abfolge ins Visier nehmen. Da der Angreifer zu keiner Zeit physischen Zugriff auf das Gerät des Opfers benötigt (und es Mobilfunkdiensten oft an robusten Betrugsabwehrprüfungen mangelt), können die böswilligen Nummernportierungen unter dem Radar stattfinden, bis das Opfer plötzlich feststellt, dass es ausgeschlossen wurde.

Wie geht ein Angriff per SIM-Swap vor sich?

Ein Angriff per SIM-Swap läuft in drei Phasen ab:

1. Ausforschung und Abernten von Anmeldedaten
   Der Angreifer sammelt zunächst ausreichend persönlich identifizierbare Informationen, um im Gespräch mit dem Mobilfunkdienst als das Opfer durchzugehen. Diese kommen oft aus Phishing-E-Mails, die Anmeldedaten und PINs einsammeln, Datenschutzverletzungen, oder manipulativen Telefonanrufen („Vishing“, Zusammensetzung aus Voice und Phishing), bei denen der Betrüger sich als Vertreter einer Bank oder eines Mobilfunkanbieters ausgibt. Parallel dazu können sie öffentlich zugängliche Systeme (z. B. Social Media, öffentliche Register) nach Metadaten wie Geburtsdaten, Adressen oder Kontonummern sondieren, die den Fragen zur Feststellung der Identität seitens des Mobilfunkanbieters oder dessen CRM-Abläufen Genüge tun.
2. Missbrauch der Nummernportierung / SIM-Bereitstellung
   Mit den Account-Anmeldedaten des Opfers und seinen persönlich identifizierbaren Informationen ausgestattet, ruft der Angreifer das Nummernportierungs- oder Kundendienst-Team des Mobilfunkanbieters an (oder führt den Datenmissbrauch über ein Online-Self-Service-Portal durch). Er bittet um eine „Nummernportierung“ oder die Ausgabe einer Ersatz-SIM-Karte mit der betrügerischen Behauptung, das alte Gerät sei verloren gegangen oder beschädigt. Sobald der Datensatz geändert ist, beginnt die SIM-Karte des Angreifers, alle SMS, Sprachanrufe und SS7-basierten MAP-Nachrichten (Mobile Application Part) zu empfangen, die dem Opfer gelten.
3. Umgehung von 2FA und Ersteintragung
   Mit der Kontrolle über die SIM kann der Angreifer Passwortzurücksetzungen auslösen, die SMS-OTP (one-time passcodes), also Einmal-Passcodes per SMS, nutzen. Sendet Ihre Organisation eine SMS-OTP an einen Endnutzer, um dessen „Identität bestätigen zu lassen“, geht der OTP geradewegs an das Gerät des Angreifers. Ist der Erstzugang gewährt, kann der Angreifer seine Systemberechtigungen hochsetzen, Daten stehlen oder Erpressungs-Software installieren.

Neue Techniken und Taktiken des SIM-Swaps

Über die geläufigeren Telefon‐Helpdesk-Betrügereien und SMS‐OTP-Abgriffe hinaus haben Angreifer begonnen, darunterliegende Netzwerkprotokolle auszubeuten – vor allem die SS7- und Durchmessersignalisierungssysteme, mit denen Anrufe und Nachrichten zwischen Mobilfunkanbietern weltweit ausgetauscht werden. Indem sie sich Zugang zu diesen Signalpunkten verschaffen oder mieten, können Betrüger heimlich den Verkehr von SMS und Sprachnachrichten ohne jede Interaktion mit einem Kundenservice-Vertreter umleiten, was es erheblich anspruchsvoller macht, dies zu entdecken und zuzuordnen.

Geräteseitig hat die Einführung von eSIM (embedded SIM) und Fernbereitstellung von SIM-Karten eine neue Front aufgemacht: Kriminelle, die den Mobilfunk-Account eines Nutzers kompromittieren, können das Herunterladen eines Profils auf eine Angreifer-SIM „over-the-air“ veranlassen, und all das unter dem Radar physischer SIM-Swap-Kontrollen. Ebenso experimentieren Angreifer angesichts dessen, dass Organisationen SMS-OTP zugunsten Push-basierten MFA auslaufen lassen, mit raffinierten Vishing-Kampagnen, um Nutzer dazu zu verleiten, unbefugte Logins auf ihren Authentifizierungs-Apps zuzulassen.

Richten Sie mit Specops Password Policy Ihre individuelle Passwortrichtlinie ein

Tipps für die Vorbeugung gegen Betrug per SIM-Swap

Organisationen können ihre Verteidigung gegen SIM-Swapping ausbauen, indem sie sich weniger auf SMS-basierte Authentifizierung verlassen und ihre Nutzeridentitätsprüfung verstärken:

• Setzen Sie strenge Anmeldungs- und Wiederherstellungs-Routinen durch: Wenn Nutzer Geräte registrieren oder Anmeldedaten zurücksetzen, stellen Sie sicher, dass Sie ein Werkzeug wie Specops Secure Service Desk haben, mit dem Mitarbeiter am Help Desk verifizieren können, dass Endnutzer sind, wer sie zu sein behaupten.
• Richten Sie kontinuierliche Risikobewertung ein, sowohl anhand von Verhaltensmustern als auch Geräte-basiert. Verankern Sie Anomalie-Erkennung (Geräte-Fingerabdruck, Standortüberprüfungen, Überprüfung der Anmeldehäufigkeit und Versuche zur Passwortzurücksetzung), die verdächtige Zugriffe anzeigt und blockiert, bevor sie erfolgreich sind.
• Verhandeln Sie SIM-Portierungsschutzmaßnahmen auf der Mobilfunkbetreiber-Ebene. Arbeiten Sie mit Mobilfunkbetreibern zusammen, um sogenannte Port-Freeze- oder SIM-Lock-Warnungen auf Unternehmensebene einzurichten, die vorab etablierte PINs oder Genehmigungen außerhalb des Kommunikationsweges für jeden Antrag auf Nummernportierung erfordern.
• Überwachen Sie Telefonverkehr und SS7-Signale. Setzen Sie zu Ihrem Vorteil Telekom-Betrugserkennungsservices oder Sicherheitsdienstleister ein, die Ihnen unautorisierte Signalanfragen oder plötzliche IMSI/ICCID-Änderungen melden.
• Schulen Sie Ihre Mitarbeiter entsprechend und üben Sie das Verhalten bei einem Zwischenfall. Informieren Sie Teams von Help Desk und IT bezüglich Social Engineering-Taktiken, die beim SIM-Swap-Betrug genutzt werden, und halten Sie regelmäßig Simulationsübungen einer kompromittierten Leitung ab. So kann die Organisation rasch betroffene Accounts isolieren, manuelle Überschreibungen durchführen und sich mit Mobilfunkbetreibern koordinieren, um bösartige Nummernportierungen rückgängig zu machen.
• Richten Sie einen ständig aktualisierten Newsfeed eines Bedrohungserkennungsdienstes ein. Abonnieren Sie branchenweite Meldesysteme über Datenschutzverletzungen (z. B. Warnmeldungen von FS-ISAC, NCSC) und halten Sie Ausschau nach Spitzen in regionalen SIM-Swap-Kampagnen (wie die, die kürzlich Handelsunternehmen in Großbritannien getroffen haben), sodass Sie proaktiv exponierte Systeme verstärken oder segmentieren können.

Verteidigen Sie sich gegen SIM-Swapping mit Phishing-resistenten 2FA/MFA

Im Bestreben der Akteure, ihre Taktik immer weiter fortzuentwickeln, hat sich SIM-Swapping als eine besonders effektive Methode der Umgehung konventioneller Verteidigung erwiesen. Wenn sich Ihre Organisation noch immer auf Zwei-Faktor-Authentifizierung (2FA) per SMS verlässt, versetzen Sie Nutzer in einen Zustand kritischer Angreifbarkeit, der mit einem einzigen Telefonanruf und ein wenig gut gemachtem Social Engineering ausgenutzt werden kann. Die Lösung ist nicht, sich von der Multi-Faktor-Authentifizierung zu verabschieden, sondern sie Phishing-resistent zu machen.

Und da kommen Werkzeuge wie Specops Secure Access ins Spiel. MFA-Werkzeuge wie Specops Secure Access können per SMS versendete Einmal-Passcodes ersetzen oder durch App-basierte Push-Benachrichtigungen (wobei der Nutzer ausdrücklich ein Login auf einem registrierten Gerät genehmigen muss) ergänzen, die zudem überhaupt nicht vom Telefonnetz abhängig sind. Da es keinen SMS-Kanal gibt, der gekapert werden kann, eröffnet ein SIM-Swap Angreifern keinen Weg, den zweiten Faktor abzugreifen oder erneut abzuspielen.

Kombinieren Sie das mit Specops Password Policy und Sie erledigen die zweite Hälfte der Gleichung: das Erfordernis starker, einzigartiger Passwörter, die nicht leicht zu erraten oder zuvor kompromittiert sind. Miteinander reduzieren diese Lösungen Ihre Angriffsfläche für SIM-Swap-Betrug, indem sie das schwächste Glied in Ihrer Authentifizierungskette beseitigen.

Behandeln Sie das SIM-Swap-Risiko nicht als bloßes Problem auf Nutzerebene, sondern als strategisches Anliegen Ihres Identitäts- und Zugriffsmanagements (IAM). Aufrüstung auf Phishing-resistente MFA und Durchsetzung strenger Passworthygiene sind nicht bloß bewährte Verfahren – sie sind unerlässlich in der Abwehr von Angriffen durch Social Engineering. Wenn Sie es nicht schon getan haben, wird es Zeit, Ihre aktuellen Kontrollen zu evaluieren und herauszufinden, wo Specops helfen kann, die Latte höher zu legen. Sprechen Sie noch heute mit einem Specops-Experten.