SIM-Swapping: So stehlen Kriminelle Handynummern

Zitat von Ben

In so einem Fall sollte man umgehend den Provider informieren.

Ich schätze dieser Vorgang ist dann gar nicht mehr so einfach, wenn durch die Kaperung beim Provider dort alles geändert worden ist (z.B. Passwort). Die Hotline arbeitet dann doch nach Schema F, wenn z.B. die Zugangsdaten nicht mehr stimmen kannst du nicht der Besitzer des Vertrages sein. Wenn dann über Zwischenschritte vieles bewiesen werden muss vergeht viel Zeit in der die Kriminellen agieren können.

Tschüss Heiko

Diese Masche scheint eine Abwandlung eines schon länger laufenden Kreditkarten Scams zu sein.

Man ändert dann einfach beim Anbieter die Adressdaten des Krditkarteninhabers und eine Weile später wird eine neue Karte beantragt. Diese wird dann - vom Karteninhaber unbemerkt - an die neue Adresse geschickt und schon ist der Scammer in der Lage fett einkaufen zu gehen und am Geldautomaten Bargeld abzuheben.

So ist es einem Freund von mir passiert, er hat den Schaden erst 8 Wochen später bemerkt als die Hausbank sich wegen eines völlig überzogenen Girokontos bei ihm gemeldet hat.Dort waren ca. 15.000 an Abbuchungen aufgelaufen!

Die Beweislage war denkbar schwierig für ihn, besonders das Kreditkartenunternehmen davon zu überzeugen das er selbst ein Opfer ist hatte knapp 6 Monate gedauert.Zusätzlich hatte die Schufa diverse negativ-Einträge erhalten - also ist seine Kreditwürdigkeit auch im Arxxx .

Man kann gar nicht genug betonen wie wichtig es ist die persönlichen Daten vor Fremdzugriff zu schützen, ist das Kind erstmal im Brunnen wirds schwer !

Zitat von AndreasH

Die Beweislage war denkbar schwierig für ihn, besonders das Kreditkartenunternehmen davon zu überzeugen das er selbst ein Opfer ist hatte knapp 6 Monate gedauert.Zusätzlich hatte die Schufa diverse negativ-Einträge erhalten - also ist seine Kreditwürdigkeit auch im Arxxx .

Man kann gar nicht genug betonen wie wichtig es ist die persönlichen Daten vor Fremdzugriff zu schützen, ist das Kind erstmal im Brunnen wirds schwer !

Das ist in solchen Momenten manchmal finanziell eine Herausforderung, aber der Gang zum Anwalt (und natürlich auch zur Polizei) ist in solchen Situationen die einzig richtige Möglichkeit. Am Ende hat es sicherlich (zusätzliches) Geld gekostet, aber die Kredit- und Glaubwürdigkeit ist komplett wiederhergestellt...

Zitat

[...] erhalten Kriminelle die Kontrolle über das Smartphone ihrer Opfer

Ich habe einige Dienste mit 2FA. Nur: bei mir laufen die SMS auf einer Prepaid-Nummer/SIM auf, die in einem Nokia 6210 steckt (SIM von vor 2017, da gabs noch keine Ausweispflicht) und als zweites steht bei den Diensten ggf. neben einer Mailadresse auch noch eine Festnetz-Telefonnummer aus meinem alten ISDN-Nummernpool zur 2FA-Auswahl, die nie jemand bekam und ausser BEVA, mir und dem Festnetzprovider keiner kennt.

Das ist eben das Elend, weil bei vielen alles nur noch über ein einziges Gerät läuft - Banking, (a)soziale Medien, Foren, Kreditkarte, Paypal und andere Zahlungsmethoden, Smarthome, digitale Schlüssel für Betrieb und Wohnung/Haus, KeylessGo fürs Auto, usw. usf.

Auf den ersten Blick sicher saupraktisch, aber wehe, das Gerät wird geklaut, geht verloren oder wird gehackt, erstmal=Ofenrohr Gebirge...

online banking app vom firmenkonto läuft über mein altes smartphone, was sonst nicht mehr benutzt wurd und keine sim enthält.

Das mit der sms authentication ist aber echt zum klumpenrisiko geworden.

Bleiben denn alte sims weiterhin aktiv d.h. die vor 2017?

Online Banking funktioniert mit Smartphone ohne SIM?

Zitat von Makoto

Online Banking funktioniert mit Smartphone ohne SIM?

Das Debakel stellt sich bei mir grad mit der Vollmacht fürs Konto meiner Tante ein. Banking selbst geht zwar weiterhin am PC, aber für die Authentifizierung brauchts zwingend eine App - die benötigt zum Glück allerdings keine SIM, sondern "nur" Internet via W-Lan, funktioniert also auf einem Smartphone ohne SIM.

Zitat von Traumgarten

Bleiben denn alte sims weiterhin aktiv d.h. due vir 2017?

Die Privider werden sich ja nicht die eigenen Umsätze absägen, hab selber so eine SIM aus 2010, die lade ich regelmässig auf. Funktioniert einwandfrei

Zitat von Makoto

Online Banking funktioniert mit Smartphone ohne SIM?

Wichtig ist ja nur internet und da genügt ja wlan.

Zitat von Makoto

Online Banking funktioniert mit Smartphone ohne SIM?

Habe dafür ein eigenes billig-Handy aber mit ordentlicher Akkulaufzeit. Das funktioniert so:

SIM Karte in das Handy einsetzen, das du für Banking Authorisierung verwenden willst. Banking App installieren. Gerät über SMS Tan durch die Bank authorisieren lassen. Damit ist das Gerät bei der Bank registriert und kann mit der App verwendet werden.

Danach Sim-Karte raus und ins "EDC"-Telefon rein. Auf diesem Gerät sind natürlich keine Social Media Apps oder sonstiger unnötiger Kram drauf der potenziell Angriffsvektoren öffnet.

Jegliche Authorisierungs-Tans die jetzt für diese Rufnummer angefordert werden landen auf dem Billighandy und nicht auf dem Gerät das die SIM-Karte hat. Somit läuft so eine SIM-Karten Attacke ins Leere. Zusätzlich merke ich einen Angriff, weil dann auf meinem Billighandy eine Authorisierungsanfrage für ein anderes Gerät aufschlägt (die man natürlich ablehnt).

Wichtig ist, das "EDC"-Handy darf bei der Bank nicht authorisiert sein.

(getestet mit ELBA, HYPO/ELBA, und VB Banking App)

Nudnik : Gibt es bei diesen Apps eine Funktion für eine Reauthentifizierung derselben Rufnummer? Z.B. wenn du dein Handy wechselst, aber die Rufnummer behältst? Falls ja, ist deine App nämlich genauso angreifbar.

KidCrazy:

Sollte es einem Angreifer gelingen, dass er deiner SIM-Karte oder einer Kopie habhaft wird, dann hat er erstmal deine Nummer aber kein von der Bank authorisiertes Gerät. Nun könnte er die Banking App installieren. Um sich als du auszugeben, müsste er dann noch die Login-Daten deines Bankzuganges haben. Sagen wir er hat auch das geschafft, weil er dir dein EDC-Telefon geklaut hat.

Nun schickt er von der richtigen Telefonnummer als korrekter User einen Anweisungsauftrag, sagen wir über €5.000,- an ein ÜBerseekonto.

Für diese Anweisung braucht er einen TAN aber dieser TAN kommt bei ihm nicht an da sein Gerät nicht authentifiziert ist. DIeser TAN kommt beim anderen Handy an und das ist ja in deiner Gewalt. In dem Augenblick weisst du schon mal dass irgendwas vor sich geht.

Nehmen wir an der Angreifer versteht, dass sein Gerät nicht authentifiziert ist und schickt eine Authentifizierungsanfrage für sein Gerät an die Bank.

Dafür benötigt er wieder einen TAN und wohin wird der geschickt? An das Handy das du hast und wieder bist du gewarnt.

Er könnte jetzt versuchen bei der Bankj anzurufen und die zu bequatschen, sie mögen doch bitte das "alte, kaputte Handy" rauslöschen aber die werden ihm dann entweder Fragen stellen, die er nicht beantworten kann oder ihm mitteilen, dass er für diese Aktion leider persönlich bei der Bank vorstellig werden muss.

Offenbar beruht der Betrug wirklich darauf, dass jemand vorgibt, der rechtmässige Besitzer zu sein und das Handy verloren zu haben. Das kommt recht häufig vor. Wenn man nun noch ein paar persönliche Daten des rechtmässigen Users kennt , dann kann jemand von der Bank das neue Handy autorisieren, ohne dass noch irgendwas auf dem alten Handy landet (das gar nicht geklaut wurde), weil dieser Bankmitarbeiter ja eben davon ausgeht, dass das vorher autorisierte Gerät für die Zweiwege-Authentifizierung weg ist. Wenn einem das passiert, dann besorgt man sich ja eben ein anderes Handy mit einer anderen SIM-Card.

Abhilfe wäre, dass die Bank das nur macht, nachdem sie die korrekte Identität des Antragstellers zweifelsfrei festgestellt hat. man stelle sich den Aufwand vor, da Handies doch recht häufig verhühnert oder verlegt oder verloren oder vergessen werden, vor allem von älteren Leuten. Meine eben erst so halbwegs erwachsenen Kinder sind da anders, die würde eher ihren eigenene Hintern vergessen als das Tablet.

Wir hatten den Fall einer Re-Authentifizierung wegen einem Todesfall in der Familie; die wollten das Geburtsdatum uind eine der letzten Kontobewegungen wissen. Damit waren dann aber nur Transaktionen an der Bank bekannte Empfänger möglich (Pflegeheim, Steueramt usw.).

Man kriegt beim Einrichten des E-Banking-Zugangs bei gewissen Banken einen speziellen QR-Code in separatem Brief, mit dem man weitere Geräte autoriseren kann.

Abgesehen von der Haftungsfrage wird das sicher bald gesichert werden - eine gute Möglichkeit wären biometrische Daten, die man nicht so leicht faken kann. Z.B. Selfie von zu autoriserendem Handy senden und ein KI-Bilderkennuingssoftware bei der Bank glaubt, dass man es sei, oder eben nicht.

Zumidest schliesst man mit der Methode den Angriffsvektor über den Provider. MIt der Bank könnte man, wenn sie es nicht ohnehin so macht ja vereinbaren, dass eine Löschung oder HInzufügen eines authorisierten Gerätes nur persönlich geht.

Mit Banken kannst du auf dieser Ebene als gewöhnlicher Kunde nichts vereinbaren, das ist hoch automatisiert und geschieht täglich sehr oft. Falls sie einem Betrüger aufgrund zu lascher Personenüberprüfung auf diese Weise Zugang zu deinen Konti gewähren, hast erstmals du den Schaden und die Beweislast, dass die fehlerhaft gehandelt haben. Du warst ja gemäss AGBs damit einverstanden, dass das so läuft.

Das gleiche lief damals bei Computerbetrug ab, wo das Modem von Trojandern auf teure Bezahlnummern umgeleitet wurde und der Kunde die Beweislast hatte, weil die Telekom behaupet hatte, sie habe nichts falsch gemacht. Erst nach viel Bemühen der Konsumentenschutzorganisationen konnte erreicht werden, dass man solche Nummern auf seinem Telefonanschluss sperren lassen kann.

Die sichersten Methoden für Online-Banking sind immer noch die, bei denen man die eigene EC-Karte als TAN-Generator benutzt. Beispielsweise via smartTAN. Die Geräte dazu bekommt man entweder für ca. 30 Euro bei Amazon (nach "smart tan generator" suchen) oder oft auch etwas günstiger bei der eigenen Bank. Ohne Zugriff auf die EC-Karte gibts dann auch keine TAN und damit keinen Zugriff aufs Konto.

Zitat von KidCrazy

Die sichersten Methoden für Online-Banking sind immer noch die, bei denen man die eigene EC-Karte als TAN-Generator benutzt. Beispielsweise via smartTAN. Die Geräte dazu bekommt man entweder für ca. 30 Euro bei Amazon (nach "smart tan generator" suchen) oder oft auch etwas günstiger bei der eigenen Bank. Ohne Zugriff auf die EC-Karte gibts dann auch keine TAN und damit keinen Zugriff aufs Konto.

Ja, zumindest auch aus meiner Sicht.

Nur wollen die Banken weg davon, hin zur App. Die Bank meiner Tante beispielsweise setzt das EC-Karten-TAN-Verfahren überhaupt nicht mehr ein, auch nicht auf Wunsch und Nachfrage - wenn Onlinebanking, dann nur mit der Bank-App zur Authentifizierung.

Und meine eigene Bank erklärte mir bereits ähnliches, nur ist meine eine "Dorfbank" mit entsprechend älterem Klientel, die können nicht einfach so ihren mitunter sogar noch Internetlosen (Smartphone? Muahaha...) sowas aufs Auge drücken. Die wissen ganz genau, wenn sie die Zugangs- bzw. Nutzungsschwellen für ihre älteren Kunden zu hoch schrauben, managen deren Kinder oder Enkel das Banking, und die wechseln Banken mitunter wie ihren Energieversorgervertrag.

klar ist das mit der ec karte sicherer, aber da läuft man dann Gefahr, dass man die dann am pc liegen lässt und im laden ganz doof ohne geld da steht, wenn man eher der typ kartenzahler ist.

Ich habe mir von meiner bank immer mal wieder ein kostenloses tan gerät schicken lassen und habe nun 3 registrierte geräte für den fall der fälle.

Nachteilig ist, das diese geräte keinen pin o.ä. haben d.h. wer das gerät hat, kann tans generieren.

Tan app ist zwar mit pin, aber potentiell gefährlicher.

Früher hatte ich die noch auf einen tablett, als ich von u terwegs auch mal ans konto musste, weil ich beruflich oft auf Reisen war.