Das SIM Card Hijacking oder auch SIM Swapping funktioniert so: jemand findet Ihre Telefonnummer heraus und den dazugehörigen Anbieter. In der Schweiz ist das kein Problem, da die diversen Mobilfunkanbieter jeweils eigene Vorwahlen besitzen. Sobald der Angreifer Ihre Telefonnummer hat, ruft er bei Ihrer Telefongesellschaft an und gibt vor, seine SIMkarte verloren zu haben oder dass diese anderweitig unbrauchbar geworden ist. Zudem gibt er den Auftrag, die alte Nummer auf die neue SIMkarte zu übertragen. Viele Mobilfunkanbieter tun das ohne weiteres, die Sicherheitsvorkehrungen sind lasch. Oft reicht die Angabe des Geburtsdatums. Eine erweiterte Variante ist, dass der Angreifer einen Komplizen in der Telefongesellschaft sitzen hat, welcher Zugang zu den PINs der jeweiligen SIM hat. Sollte die Telefongesellschaft den passenden PIN zur SIMkarte abfragen, lässt sich der Angreifer diesen von seinem Komplizen vorgängig aushändigen. Ist die Nummer der alten SIMkarte ersteinmal auf ein Mobiltelefon des Angreifers übertragen, dann stehen diesem die Türen zu Ihren bspw. Exchangekonten weit offen: Google Authenticator z.B. ist direkt an Ihre SIMkarte gekoppelt und die meisten Exchanges verwenden diese App als zentralen Sicherheitsmechanismus. Ist dieser erst einmal ausgehebelt, dann sind die Cryptos auf den Exchangewallets schnell und unwiderbringlich auf die Wallet des Angreifers gewandert.
SIM Swapper wandert in Haft
Dass so etwas in der Praxis tatsächlich passiert, mussten etwa 40 Personen die an der Cryptomesse „Conssensus“ in New York teilnahmen auf die harte Tour lernen. Der zwanzigjährige Bostoner Student Joel Ortiz hatte dort nicht nur Cryptos im Gegenwert von ca. 1,5 Millionen USD erbeutet, sondern mit diesem Angriff auch diverse Social Media Accounts seiner Opfer unter seine Kontrolle gebracht und diese dann an die Meistbietenden verkauft. Joel Ortiz geht dafür nun für zehn Jahre ins Gefängnis.