Der Trick mit der Telefonnummer – Konten leergeräumt
Wenn Telefonnummern zu Waffen werden…
Eigentlich ist der Stadtteil Vogelheim ein ruhiger Vorort im Norden Essens. Doch am frühen Mittwochmorgen wurden die Anwohner einer kleinen, verkehrsberuhigten Sackgasse in dem Wohngebiet plötzlich von einem lauten Knall geweckt: Das SEK hatte mit Gewalt die Tür einer Wohnung geöffnet, um einen 25-Jährigen festzunehmen . Seine mutmaßlichen Taten soll er nur online begangen haben, trotzdem kamen ihm Cybercrime-Ermittler auf die Spur.
Die Festnahme war Teil einer größeren Aktion, mit der Cybercrime-Ermittler eine relativ neue Angriffsmethode krimineller Hacker bekämpfen wollen. Insgesamt nahm die Polizei fünf Verdächtige fest und durchsuchte zehn Wohnungen und Geschäftsräume. Die Staatsanwaltschaft glaubt, dass der Mann in Essen der Kopf einer Bande ist, die für ihre Taten das sogenannte SIM-Swapping nutzte.
Beim SIM-Swapping gelingt es Angreifern, in wenigen Schritten Geld von ahnungslosen Privatpersonen zu erbeuten, ohne dafür das Haus verlassen zu müssen. Die aktuellen Festnahmen sind der erste öffentlich bekannte Fall in Deutschland, in dem kriminelle Hacker dieses Verfahren für einen Beutezug eingesetzt haben. Auch ist es der erste bekannte Fall, in dem Deutsche Opfer solcher Angriffe werden. In den USA klagen Opfer schon länger über das Problem, teilweise erbeuteten Täter dort aus digitalen Bitcoin-Geldbeuteln Beträge in Millionenhöhe.
Die Täter übernehmen die Telefonnummer ihrer Opfer. Sie überlisten dafür zunächst die Sicherheitsvorkehrungen von Telefonanbietern wie Vodafone, o2 oder der Deutschen Telekom – online oder an der Kundenhotline. Dann loggen sie sich in die Bankkonten ihrer Opfer ein, deren Passwort sie sich zuvor besorgt haben. Weil sie die Telefonnummer der Opfer übernommen haben, bekommen sie per SMS den sogenannten mTan-Code zugeschickt, der vor jeder neuen Überweisung eingegeben werden muss. Jetzt können sie sich das Geld einfach auf Konten überweisen, die sie kontrollieren.
Ermittler vermuteten scharfe Waffe beim Verdächtigen
Im aktuellen Fall geht die Staatsanwaltschaft davon aus, dass die Verdächtigen bei mehreren Beutezügen rund 100 000 Euro stehlen konnten. Häufig wurde das Geld kurz nach der Tat ins Ausland weiterüberwiesen. Ein Opfer verlor durch die Hacker 10 000 Euro, oft lagen die von den einzelnen Konten geklauten Beträge im vierstelligen Bereich. „Wir beobachten, dass SIM-Swapping ein Delikt ist, das auch hierzulande zunehmend auftritt“, sagt Christoph Hebbecker. Er ist Sprecher der ZAC, einer nordrhein-westfälischen Sonderstelle für Cybercrime-Ermittlungen in Köln. Als Staatsanwalt untersucht er selbst seit Jahren Cybercrime-Betrugsfälle.
Bei der Festnahme im Essener Norden kam das SEK zum Einsatz, weil die Ermittler bei dem Verdächtigen eine scharfe Waffe vermuteten und tatsächlich auch fanden. Der Hauptverdächtige soll zuvor bereits mit anderen Online-Betrugsdelikten aufgefallen sein. Anders als in manchen SIM-Swapping-Fällen in den USA ging es den Verdächtigen im aktuellen Fall wohl nicht darum, online mit ihren Taten zu prahlen. „Es scheint, als haben die Verdächtigen das schlicht gemacht, um auf relativ einfachem Wege an Geld zu kommen“, sagt Staatsanwalt Hebbecker.
SIM-Swapping ist für Täter deshalb so verlockend, weil sie damit den Schutz aushebeln können, mit dem das sogenannte mTAN-Verfahren eigentlich die meisten Online-Banking-Portale vor Angriffen schützen soll. Zu jeder Überweisung wird ein TAN-Code per SMS an den Kontoinhaber verschickt. Doch weil die Hacker die Telefonnummer der Opfer kontrollieren, landet der Code auf ihrem Handy. Dann können sie sich einfach das Geld überweisen. Die Angriffsmethode ist so lukrativ, dass Hacker in Gruppen vorgehen, wie im aktuellen Fall. In den USA gibt es eigene Chat-Foren, in denen sich Täter organisieren und mit ihren Beutezügen brüsten.
Die Verdächtigen sollen Telefonnummern meist nachts übertragen haben
Die Opfer der Angriffe bekommen zunächst nicht mit, dass ihnen Geld gestohlen wurde. Dass etwas nicht stimmt, bemerken sie nur, wenn sie ihre Kontoauszüge prüfen – und daran, dass sie auf ihrem Telefon keinen Empfang mehr haben, keine Nachrichten mehr bekommen und nicht mehr telefonieren können. Denn die Angreifer übertragen die Telefonnummer ihrer Opfer heimlich auf eine eigene SIM-Karte.
Wenn die Opfer dann im Geschäft von o2 oder der Telekom stehen, um das Problem zu melden und ihre SIM-Karte zu tauschen, ist das Geld längst weg. Im aktuellen Fall sollen die Verdächtigen die Telefonnummern meist mitten in der Nacht übertragen haben – auf sogenannte eSIM-Karten. Diese relativ neue Form der SIM-Karten kann im Vergleich zu alten SIM-Karten, die im Geschäft aktiviert werden, sofort online aktiviert werden. Sie ist allerdings noch nicht bei allen Telefonkunden in Deutschland verbreitet.
Um die Telefonnummer zu übernehmen, sollen die Verdächtigen Online-Portale genutzt haben, wie sie alle großen deutschen Mobilfunkunternehmen wie o2, Vodafone oder die Deutsche Telekom anbieten. Darin können Kunden Details zu ihren Mobilfunkverträgen einsehen, teils aber auch ihre Rufnummer auf eine neue eSIM-Karte übertragen, trotz Schutzmechanismen der Mobilfunk-Betreiber. Diese Online-Funktion dürften sich die Verdächtigen zunutze gemacht haben. Aktuell geht die Staatsanwaltschaft nicht davon aus, dass die Gruppe auch versucht hat, über die Hotlines der Provider die Nummern übertragen zu lassen, wie dies bei SIM-Swapping-Fällen in den USA geschehen sein soll.
Ein gutes Passwort schützt vor einem leeren Bankkonto
Im aktuellen Fall geht die Staatsanwaltschaft davon aus, dass die Verdächtigen die Passwörter ihrer mutmaßlichen Opfer kannten oder hackten. Dabei dürften ihnen im Darknet verfügbare Passwort-Listen behilflich gewesen sein. In Cybercrime-Foren kursieren zahlreiche Datensätze, in denen E-Mail-Adressen und Passwörter stehen, die Kriminelle oft bei älteren Hacking-Angriffen auf andere Online-Dienste oder Portale erbeutet haben.
Nutzer von Online-Banking können also etwas tun, um sich vor SIM-Swapping-Attacken auf ihr Konto zu schützen: Erstens sollten sie immer ein ausreichend langes und sicheres Passwort wählen, zweitens sollten sie ihr Passwort unbedingt ändern, wenn sie es für einen Dienst genutzt hatten, bei dem es eine Sicherheitslücke gab und Passwörter geleakt wurden. Ob ihre E-Mailadresse von einem solchen Fall betroffen ist, können Nutzer auf einer speziellen Website vom Hasso-Plattner-Institut oder auf der Website haveibeenpwned.com des renommierten Sicherheitsforschers Troy Hunt prüfen.
Zusätzlich können sich Nutzer schützen, indem sie ein sicheres Kundenkennwort bei ihrem Mobilfunkanbieter festlegen. Dann kann niemand in ihrem Namen bei der Kunden-Hotline des Providers beantragen, ihre Rufnummer zu übertragen. Ein solches Kundenkennwort ist bei Vodafone und o2 schon verpflichtend.
Ob das Geld der Opfer von SIM-Swapping tatsächlich weg ist, hängt nun von der Kulanz der Banken ab. Zumindest einige der mutmaßlichen Opfer aus dem aktuellen Verfahren in Nordrhein-Westfalen haben laut Staatsanwaltschaft ihre Verluste von den Banken zurückerstattet bekommen. Andere warten demnach noch auf eine Rückmeldung, wieder andere werden ihr Geld nicht von der Bank erstattet bekommen.