ScamLens
Kritisch Durchschnittlicher Schaden: $25,000 Typische Dauer: 1-7 days

SIM-Swapping-Betrug: Vollständiger Schutzleitfaden

SIM-Swapping, auch bekannt als SIM-Hijacking oder Port-Out-Betrug, ist eine raffinierte Form des Identitätsdiebstahls, bei der Kriminelle Ihren Mobilfunkanbieter überreden, Ihre Telefonnummer auf eine SIM-Karte zu übertragen, die sie kontrollieren. Sobald sie Ihre Nummer haben, können sie Zwei-Faktor-Authentifizierungscodes, Links zum Zurücksetzen von Passwörtern und Verifizierungsnachrichten abfangen, was ihnen Zugang zu Ihren Bankkonten, Kryptowährungs-Wallets, E-Mail und sozialen Medien verschafft. Nach Angaben des FBI Internet Crime Complaint Center überstiegen die Verluste durch SIM-Swapping im Jahr 2021 68 Millionen Dollar, wobei einzelne Opfer zwischen 5.000 und 2 Millionen Dollar verloren. Der Angriff beginnt typischerweise mit Phishing oder Datenverletzungen, bei denen Kriminelle persönliche Informationen über Sie sammeln – Geburtsdaten, Adressen, Sozialversicherungsnummern, Kontonummern oder Antworten auf Sicherheitsfragen. Bewaffnet mit diesen Informationen kontaktieren sie Ihren Mobilfunkanbieter und geben sich als Sie aus, behauptend, dass sie ein neues Telefon aktivieren oder eine beschädigte SIM-Karte ersetzen müssen. Viele Anbieter verlassen sich auf leicht zu beschaffende oder zu erratende Informationen zur Verifizierung, was den Social-Engineering-Angriff bemerkenswert erfolgreich macht. Innerhalb von Minuten, nachdem sie die Kontrolle über Ihre Nummer übernommen haben, beeilen sich Angreifer, auf Ihre wertvollsten Konten zuzugreifen, bevor Sie merken, was passiert. Das Besonders Verhängnisvolle am SIM-Swapping ist seine Geschwindigkeit und sein Ausmaß. Im Gegensatz zum traditionellen Identitätsdiebstahl, der Wochen dauern kann, bis er entdeckt wird, bemerken SIM-Swap-Opfer häufig innerhalb von Stunden, dass etwas nicht stimmt, wenn ihr Telefon plötzlich den Dienst verliert. Zu diesem Zeitpunkt haben Angreifer bereits Bankkonten geleert, Kryptowährungsbestände gestohlen und Opfer durch Passwortänderungen aus E-Mail- und Social-Media-Konten ausgesperrt. Der durchschnittliche Verlust von 25.000 Euro spiegelt die Kombination aus direktem finanziellem Diebstahl, Kryptowährungsverlusten und dem kaskadierenden Schaden durch kompromittierte Konten wider. Bekannte Fälle haben Prominente, Führungskräfte und Kryptowährungsinvestoren betroffen, die Millionen verloren, aber zunehmend werden auch Durchschnittskonsumenten gezielt angegriffen, während Kriminelle ihre Techniken verfeinern.

Häufige Methoden So erkennen Sie es So schützen Sie sich Reale Beispiele Wo melden

Häufige Methoden

  • Kriminelle sammeln persönliche Informationen durch Phishing-E-Mails, Textnachrichten oder kaufen Daten von Dark-Web-Marktplätzen, die Informationen aus früheren Datenverletzungen verkaufen, um ein vollständiges Profil zum Identitätsdiebstahl zu erstellen.
  • Angreifer rufen Mobilfunkanbieter mehrmals an, manchmal zielend auf weniger erfahrene Kundendienstmitarbeiter oder anrufen während Stoßzeiten, wenn Verifizierungsverfahren überstürzt oder übersehen werden könnten.
  • Betrüger nutzen Insider-Bedrohungen aus, indem sie Mitarbeiter von Mobilfunkanbietern bestechen oder rekrutieren, die Telefonnummern direkt übertragen können, ohne ordnungsgemäße Verifizierungsverfahren zu befolgen und Sicherheitsmaßnahmen vollständig zu umgehen.
  • Betrüger erstellen gefälschte Ausweisdokumente unter Verwendung gestohlener persönlicher Daten und besuchen Einzelhandelsgeschäfte von Anbietern persönlich, wobei sie gefälschte Ausweise vorlegen, um das Personal davon zu überzeugen, eine neue SIM-Karte mit der Nummer des Opfers auszugeben.
  • Nach erfolgreicher Übertragung der Nummer versuchen Angreifer sofort, Passwörter bei wertvollen Zielen wie E-Mail-Konten, Kryptowährungsbörsen und Banken zurückzusetzen, wobei sie SMS-basierte Zwei-Faktor-Authentifizierung nutzen, um innerhalb von Minuten Zugang zu erlangen.
  • Kriminelle überwachen die sozialen Medien von Opfern auf Reiseposts, Lebensereignisse oder Muster, die darauf hindeuten, wann jemand abgelenkt sein könnte oder weniger wahrscheinlich sofort die Unterbrechung seines Telefondienstes bemerkt, um Angriffe zum optimalen Zeitpunkt durchzuführen.

So erkennen Sie es

  • Ihr Telefon zeigt plötzlich 'Kein Dienst', 'Nur Notrufe' oder kann sich nicht mit dem Netz Ihres Anbieters verbinden, obwohl Sie sich in einem Bereich mit normaler Abdeckung befinden, was darauf hindeutet, dass Ihre Nummer möglicherweise auf eine andere SIM-Karte übertragen wurde.
  • Sie erhalten unerwartete Textnachrichten oder E-Mails über SIM-Kartenwechsel, Telefonnummernübertragungen oder neue Geräteaktivierungen von Ihrem Mobilfunkanbieter, die Sie nicht initiiert oder genehmigt haben.
  • Sie können keine Anrufe tätigen oder erhalten und keine Textnachrichten empfangen, und das Neustarten Ihres Telefons oder das Umschalten des Flugzeugmodus stellt den Dienst nicht wieder her, was sich deutlich von typischen Netzwerkausfällen unterscheidet, die mehrere Benutzer betreffen.
  • Sie erhalten Benachrichtigungen über Passwort-Zurücksetzen-Versuche, erfolgreiche Anmeldungen von unbekannten Geräten oder Kontoänderungen bei Ihrem E-Mail-, Bank- oder Kryptowährungskonto, die Sie nicht angefordert haben.
  • Freunde oder Kontakte berichten, dass sie seltsame Nachrichten von Ihrer Telefonnummer erhalten, oder Sie sehen Aktivitäten auf Ihren Social-Media-Konten, die Sie nicht durchgeführt haben, was darauf hindeutet, dass jemand anderes Ihre Nummer nutzt.
  • Ihre Online-Konten werden plötzlich unzugänglich, weil Passwörter geändert wurden, und Passwort-Zurücksetzen-Optionen, die Codes an Ihre Telefonnummer senden, funktionieren nicht mehr, da Sie diese Nummer nicht mehr kontrollieren.

So schützen Sie sich

  • Kontaktieren Sie Ihren Mobilfunkanbieter sofort, um eine PIN, ein Passwort oder eine sprachliche Passphrase zu Ihrem Konto hinzuzufügen, die vor Änderungen an SIM-Karten oder Port-Out-Anfragen bereitgestellt werden muss, und stellen Sie sicher, dass dies nicht ohne persönliche ID-Verifizierung zurückgesetzt werden kann.
  • Aktivieren Sie app-basierte Zwei-Faktor-Authentifizierung mit Authentifizierungs-Apps wie Google Authenticator, Authy oder Microsoft Authenticator anstelle von SMS-basierten Codes, und verwenden Sie Hardware-Sicherheitsschlüssel für Ihre kritischsten Konten wie E-Mail und Banking.
  • Registrieren Sie Ihre Telefonnummer mit dem Port-Schutz- oder Nummernverriegelungsservice Ihres Anbieters, der verhindert, dass Ihre Nummer ohne zusätzliche Verifizierungsschritte, die 24-48 Stunden dauern können, auf einen anderen Anbieter übertragen wird.
  • Überwachen Sie Ihr Mobilfunkkonto regelmäßig auf unbefugte Änderungen, richten Sie Kontobenachrichtigungen für Änderungen ein, und erwägen Sie, eine separate, ungelistete Telefonnummer für kritische Zwei-Faktor-Authentifizierung bei Finanzkonten zu verwenden.
  • Begrenzen Sie persönliche Informationen, die Sie in sozialen Medien und öffentlichen Profilen teilen, da Angreifer Geburtsdaten, Adressen, Haustiernamen und Familiendetails verwenden, um Sicherheitsfragen zu beantworten und Kundendienstmitarbeiter davon zu überzeugen, dass Sie es sind.
  • Wenn Sie einen plötzlichen Dienstverlust erleben, kontaktieren Sie sofort Ihren Anbieter mit einem anderen Telefon oder einer Internetverbindung, überprüfen Sie gleichzeitig Ihre Finanzkonten auf unbefugten Zugriff, und erstatten Sie Anzeige, wenn Ihre Nummer gestohlen wurde.

Reale Beispiele

Ein Kryptowährungsinvestor in Kalifornien verlor 890.000 Dollar in Bitcoin, als Angreifer seinen Anbieter überredeten, seine Nummer um 2 Uhr morgens auf eine neue SIM-Karte zu übertragen. Innerhalb von 30 Minuten griff er auf sein Coinbase-Konto mit SMS-Zwei-Faktor-Authentifizierung zu, übertrug alle seine Bestände auf externe Wallets und änderte sein E-Mail-Passwort. Er entdeckte den Diebstahl, als er aufwachte und feststellte, dass sein Telefon keinen Dienst hatte und alle seine Konten gesperrt waren. Trotz sofortiger Meldung war die Kryptowährung innerhalb der ersten Stunde weg.

Ein Kleinunternehmer erhielt um 23 Uhr eine Textnachricht, um einen SIM-Kartenwechsel zu bestätigen, den sie nie angefordert hatte. Minuten später starb ihr Telefon. Die Angreifer hatten ihre Informationen aus einer Datenverletzung gesammelt und verwendeten sie, um einen Kundendienstmitarbeiter davon zu überzeugen, ihre Nummer zu übertragen. Sie griffen sofort auf ihr Geschäftsbankkonto zu, initierten Überweisungen im Gesamtwert von 47.000 Euro und änderten die E-Mail, die mit ihrem Konto verknüpft war. Sie entdeckte den Diebstahl am nächsten Morgen, als Mitarbeiter sie nicht erreichen konnten und Kunden über verdächtige E-Mails berichteten.

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.

BSI Bürger-CERT

Cyberkriminalität

Bundesamt für Sicherheit in der Informationstechnik – Warnungen und Beratung für Bürger.

Besuchen →

Polizei Online-Wache

Meldung

Online-Anzeige von Betrug bei der Polizei Ihres Bundeslandes.

Besuchen →

Verbraucherzentrale

Verbraucherschutz

Beratung für Verbraucher bei Online-Betrug und Phishing.

Besuchen →

BaFin Verbraucherschutz

Finanzaufsicht

Bundesanstalt für Finanzdienstleistungsaufsicht – Anlagebetrug und Banken-Beschwerden.

Besuchen →

Glauben Sie, auf diesen Betrug gestoßen zu sein?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), sim-swapping-betrug: vollständiger schutzleitfaden is described at https://scamlens.org/de/encyclopedia/sim-swapping.
https://scamlens.org/de/encyclopedia/sim-swapping