SIM-Swap-Betrug: Handynummern werden zur Hauptwaffe der Cyberkriminellen

Handy tot, Konto leer – so lässt sich das Geschäftsmodell von SIM-Swap-Betrügern zusammenfassen. Diese raffinierten Cyberkriminellen verwandeln Mobilfunknummern in Universalschlüssel, um Bankkonten, Krypto-Wallets und persönliche Daten zu plündern. Während deutsche Verbraucher noch arglos ihr Smartphone nutzen, eskaliert international eine Cybersicherheitskrise, die auch hierzulande längst angekommen ist. Was macht diese Betrugsmasche so gefährlich?

Die Dimension wird deutlich: Das US-Justizministerium beschlagnahmte diese Woche über fünf Millionen Euro in Bitcoin, die aus einer großangelegten SIM-Swap-Operation stammten. Die Kriminellen nutzten gekaperte Mobilfunknummern, um Zwei-Faktor-Authentifizierungscodes abzufangen und anschließend Kryptowährungen zu stehlen. Ein einzelner Fall, der zeigt, welche finanziellen Schäden eine kompromittierte Handynummer anrichten kann.

Explosionsartiger Anstieg schockiert Experten

Die Zahlen sprechen eine deutliche Sprache: Im Vereinigten Königreich explodierten die Fälle um unglaubliche 1.055 Prozent. Nahezu 3.000 Fälle wurden 2024 gemeldet – gegenüber nur 289 im Vorjahr. Diese dramatische Entwicklung ist Teil eines breiteren Trends: Fast die Hälfte aller Kontoübernahmen betraf 2024 Mobilfunkkonten.

In den USA verzeichnete das FBI Schäden von rund 26 Millionen Dollar durch SIM-Swap-Attacken. Auch wenn diese Summe unter dem Vorjahreswert von 49 Millionen Dollar liegt, bleibt die schiere Anzahl der Angriffe besorgniserregend. Britische Polizeibehörden schlugen bereits Alarm und warnten vor „Stay-at-Home“-Betrügereien, die auf diese Fernhijacking-Techniken setzen.

Was bedeutet das für deutsche Verbraucher? Die internationale Vernetzung der Kriminellen macht auch hiesige Mobilfunknutzer zu potenziellen Zielen.

Wie aus der Handynummer ein Universalschlüssel wird

Der Trick ist perfide einfach: SIM-Swap-Betrug nutzt die Schwachstellen in den Kundenverifikationsprozessen der Mobilfunkanbieter. Der Angriff beginnt nicht mit dem Hacken des Telefons, sondern mit Social Engineering.

Zunächst sammeln die Kriminellen persönliche Daten über ihr Opfer – durch Datenlecks, Social-Media-Profile oder Phishing-Attacken. Bewaffnet mit Informationen wie Geburtsdatum oder Adresse rufen sie beim Mobilfunkanbieter an. Sie geben sich als rechtmäßiger Kunde aus, melden ein verlorenes Telefon und bitten um die Übertragung der Nummer auf eine neue SIM-Karte.

Fällt der Service-Mitarbeiter auf den Trick herein, verliert das Opfer plötzlich den Mobilfunkempfang – während das Gerät der Kriminellen mit der gekaperten Nummer aktiv wird. Von diesem Moment an kontrollieren die Angreifer alle eingehenden Anrufe und SMS, einschließlich der Einmalcodes für die Zwei-Faktor-Authentifizierung bei Banking-Apps und Online-Diensten.

Vom leeren Konto bis zum gestohlenen Krypto-Vermögen

Die Folgen sind verheerend und können innerhalb von Minuten eintreten. Mit der Kontrolle über die Sicherheitscodes können Kriminelle Passwörter zurücksetzen und sich Zugang zu sensiblen Konten verschaffen. Das Hauptziel ist fast immer finanzieller Natur: Banking-Apps werden geplündert, Kreditkarteninformationen missbraucht und Kredite auf den Namen des Opfers aufgenommen.

Besonders lukrativ sind Kryptowährungen. Die digitale und oft unumkehrbare Natur von Krypto-Transaktionen macht sie zum bevorzugten Ziel. Das zeigt auch der aktuelle DOJ-Fall mit beschlagnahmten Bitcoin im Wert von über fünf Millionen Euro.

Doch die Schäden gehen weit über den direkten Geldverlust hinaus: Opfer werden von einer „Flutwelle“ des Betrugs erfasst. Social-Media-Konten werden übernommen, um weitere Betrugsmaschen an Kontakte zu verbreiten. E-Mail-Postfächer werden durchforstet, um noch mehr sensible Informationen zu finden. Der emotionale Schaden ist immens – Betroffene fühlen sich verletzt und machtlos.

Anzeige: Übrigens: Wer Online?Banking, WhatsApp und PayPal am Smartphone nutzt, sollte jetzt prüfen, ob die wichtigsten Schutzmaßnahmen aktiv sind. Ein kostenloser Ratgeber zeigt die 5 effektivsten Schritte, mit denen Sie Ihr Android vor SIM?Swap?Folgen, Datenklau und Schadsoftware schützen – ganz ohne teure Zusatz?Apps. Mit Checklisten und leicht verständlichen Schritt?für?Schritt?Anleitungen. Kostenloses Android?Sicherheitspaket anfordern

Mobilfunkanbieter in der Kritik

Die Explosion der SIM-Swap-Betrügereien stellt die Sicherheitsprotokolle der Telekommunikationsanbieter auf den Prüfstand. Cybersicherheitsexperten kritisieren, dass viele Anbieter Kundenkomfort über robuste Sicherheit stellen und sich auf leicht beschaffbare Informationen für die Identitätsprüfung verlassen.

Eine Princeton-Studie aus dem Jahr 2020 zeigte: Viele SIM-Swap-Versuche waren erfolgreich, weil Anbieter schwache Authentifizierungsmethoden nutzten. Die US-Regulierungsbehörde FCC reagierte mit neuen Regeln, die Mobilfunkanbieter zu sichereren Authentifizierungsmethoden verpflichten und sofortige Benachrichtigungen bei SIM-Änderungen vorschreiben.

Einige Anbieter führten bereits erweiterte Sicherheitsfeatures ein: Account-PINs, Passcodes und „Port-Freeze“-Optionen, die unbefugte Übertragungen verhindern sollen.

Der Abschied von der SMS-Authentifizierung

Da Kriminelle SMS-basierte Sicherheit zunehmend überwinden, drängen Experten auf widerstandsfähigere Formen der Mehr-Faktor-Authentifizierung. Empfohlen werden eigenständige Authentifikator-Apps wie Google Authenticator oder Authy, die zeitbasierte Codes auf dem physischen Gerät generieren und nicht an die Telefonnummer gekoppelt sind.

Anzeige: Passend zum Thema 2?Faktor?Schutz: Viele Nutzer übersehen einfache Einstellungen, die das Smartphone deutlich sicherer machen. Der Gratis?Guide „Die 5 wichtigsten Schutzmaßnahmen“ erklärt, wie Sie sensible Accounts absichern, betrügerische Apps erkennen und automatische Sicherheitsprüfungen aktivieren. Ideal für Alltagsnutzer – Schritt für Schritt erklärt. Jetzt kostenloses Android?Sicherheitspaket sichern

Weitere sichere Methoden umfassen biometrische Verifikation und physische Sicherheitsschlüssel. Für Unternehmen entstehen neue Technologien, die SIM-Swaps in Echtzeit erkennen können – durch API-Integration mit Mobilfunknetzbetreibern vor riskanten Transaktionen.

Der Schutz erfordert eine Kombination aus stärkerer Sicherheitsadoption durch Verbraucher und Unternehmen, verbesserten Verifizierungsprozessen der Telekommunikationsanbieter und kontinuierlichen Aufklärungskampagnen über die Warnsignale dieser heimtückischen Betrugsmasche.