In den letzten Jahren haben sich eSIMs bei Smartphones zunehmend durchgesetzt. Wer gerade auf dem Schlauch steht: Dabei handelt es sich um digitale SIM-Karten, die auf einem wiederbeschreibbaren Chip im Gerät gespeichert werden – damit spart ihr euch ganz komfortabel das Kartentauschen. So weit, so praktisch, aber:
Laut einem Bericht der russischen Cybersicherheitsfirma F.A.C.C.T. (via BleepingComputer) haben kriminelle SIM-Swapper diese Entwicklung nun für sich entdeckt und nutzen sie, um Telefonnummern zu kapern und so Zugriff auf Bankkonten und andere sensible Daten zu erlangen.
Bisher setzten SIM-Swapper häufig auf Social Engineering oder kooperierten mit Insidern bei Mobilfunkanbietern, um die Nummer ihres Opfers auf ein von ihnen kontrolliertes Gerät zu übertragen. Doch da Unternehmen zunehmend Schutzmaßnahmen gegen diese Übernahmen implementieren, haben die Cyberkriminellen nach neuen Sicherheitslücken in der eSIM-Technologie gesucht und leider auch gefunden.
Die Angreifer verschaffen sich zunächst mit gestohlenen, erratenen oder geleakten Zugangsdaten Zugriff auf das Mobilfunkkonto des Opfers. Anschließend leiten sie die Übertragung der Nummer auf ihr eigenes Gerät ein, indem sie über das gekaperte Konto einen QR-Code generieren, der zum Aktivieren einer neuen eSIM verwendet werden kann. Durch Scannen dieses Codes mit ihrem Gerät übernehmen sie die Nummer, während die eSIM oder SIM des rechtmäßigen Besitzers deaktiviert wird.
Allein bei einer einzigen Finanzorganisation registrierte F.A.C.C.T. seit Herbst 2023 mehr als hundert Versuche, auf diese Weise Zugriff auf persönliche Konten von Kunden in Online-Diensten zu erlangen. Laut Analyst Dmitry Dudkov eröffnen sich den Kriminellen durch die Kontrolle über die Telefonnummer ihres Opfers vielfältige Möglichkeiten für betrügerische Aktivitäten, da sie so an Zugangscodes und Zwei-Faktor-Authentifizierungen für verschiedene Dienste wie Banken und Messenger gelangen. Das ermöglicht weitere Betrugsmaschen, bei denen sie sich als das Opfer ausgeben und andere Personen dazu bringen, Geld zu überweisen.
Um sich gegen eSIM-Swapping-Angriffe zu schützen, empfehlen die Forscher die Verwendung komplexer und einzigartiger Passwörter für das Konto beim Mobilfunkanbieter sowie die Aktivierung einer Zwei-Faktor-Authentifizierung, sofern verfügbar. Für besonders wertvolle Konten wie Online-Banking oder Kryptowährung-Wallets solltet ihr darüber hinaus den Einsatz physischer Sicherheitsschlüssel oder Authentifikator-Apps in Betracht ziehen.