Ein SIM-Swap-Angriff manipuliert die Übertragung von Telefonnummern zwischen Mobilfunkanbietern und Subscriber Identity Modules (SIMs), um Textnachrichten, die für die Geschädigten bestimmt sind, an die Angreiferinnen und Angreifer umzuleiten.  Wenn Sie SMS für die Zwei-Schritte-Authentifizierung bei Stripe verwenden, können Angreifer/innen mit dieser Methode Ihre Verifizierungscodes abrufen und sich so Zugang zu Ihrem Konto zu verschaffen.

Wie funktionieren SIM-Karten?

Jede Mobiltelefonkundin und jeder Mobiltelefonkunde erhält eine SIM-Karte, die in das Telefon gesteckt wird, um die Kundin oder den Kunden zu identifizieren. Eine Telefonnummer verweist also auf eine einzelne SIM-Karte. Seit Kurzem gibt es eSIMs, die zwar die physische Karte überflüssig machen, aber ansonsten genauso funktionieren.

Ihr Mobilfunkanbieter hat die Möglichkeit, die SIM-Karte zu ändern, auf die eine Telefonnummer verweist. So können Sie die Telefonnummer behalten, wenn Sie Ihr Telefon verlieren bzw. wenn die SIM-Karte beschädigt oder unbrauchbar wird. Allerdings bedeutet dies auch, dass die Mitarbeitenden des Mobilfunkanbieters in der Lage sind, diese Änderung vorzunehmen.

Außerdem ist es in vielen Ländern gesetzlich vorgeschrieben, dass Kundinnen und Kunden frei zwischen Mobilfunkanbietern wechseln können. Dies begünstigt einen gesunden Wettbewerb, führt aber auch dazu, dass die Mobilfunkanbieter nur eine minimale Überprüfung vornehmen, bevor sie die Portierung einer Telefonnummer zu einem anderen Anbieter zulassen, der natürlich eine neue SIM-Karte ausstellt.

Wie funktionieren SIM-Swap-Angriffe?

Der Angriff kann auf verschiedene Arten erfolgen, die letztlich zum gleichen Ergebnis führen:

1. Die Angreiferin oder der Angreifer gibt vor, Sie zu sein und kontaktiert Ihren Mobilfunkanbieter, um ihm mitzuteilen, dass Sie Ihr Telefon verloren haben. Die Angreiferin oder der Angreifer gibt sich gegenüber dem Mobilfunkanbieter glaubwürdig für Sie aus und erhält die Ersatz-SIM-Karte.
2. Die Angreiferin oder der Angreifer gibt sich für Sie aus und kontaktiert einen anderen Mobilfunkanbieter, um ihm mitzuteilen, dass Sie zu dem neuen Anbieter wechseln möchten. Der neue Anbieter fordert den alten Anbieter auf, die Portierung zu bestätigen, und die Angreiferin oder der Angreifer überzeugt ihn, worauf der neue Anbieter eine SIM-Karte ausstellt.
3. Eine Mitarbeiterin oder ein Mitarbeiter Ihres Mobilfunkanbieters wird bestochen, damit sie oder er Ihre Telefonnummer so ändert, dass sie auf die SIM-Karte der Angreiferin oder des Angreifers verweist.

In allen Fällen verschafft sich die Angreiferin oder der Angreifer eine SIM-Karte, die SMS und Anrufe von Ihrer Telefonnummer empfängt, während Ihr bestehendes Telefon nicht mehr funktioniert.

Wie kann ich mich vor SIM-Swap-Angriffen schützen?

Im Allgemeinen gibt es aufgrund der beteiligten Dritten derzeit keine Möglichkeit, SIM-Swap-Angriffe zu verhindern. Die einzige Möglichkeit, sich vor den schädigenden Auswirkungen zu schützen, ist, für die Zwei-Schritte-Authentifizierung keine Textnachrichten (SMS) mehr zu verwenden.

Solange SMS für die Zwei-Schritte-Authentifizierung aktiviert sind, besteht ein Risiko für Ihr Konto. Sie können eine alternative Methode für die Zwei-Schritte-Authentifizierung aktivieren, wie beispielsweise eine Authenticator-App oder einen Hardware-Sicherheitsschlüssel, und müssen dann SMS deaktivieren.