Lesedauer 5 MinutenEine Flut von gehackten Instagram-Konten. Eine 220-Millionen-Dollar-Klage gegen AT&T. Ein florierender Untergrund-Verbrecherring. Sie alle haben ihre Wurzeln in einem alten Problem, das in letzter Zeit eine neue Dringlichkeit erfahren hat: SIM-Kartentausch, ein Betrug, bei dem Hacker Ihre Handy-Identität stehlen – und sie nutzen, um Ihr Leben zu zerstören.
http://s5cxkrtjnsw3jg52c2rxb2d2jjl3y4ph3eqz373pziq33cnqj6ripyqd.onion
Kurz-URL: https://tinyurl.com/alivendor
Bei einem SIM-Kartentausch überredet jemand Ihren Netzbetreiber, Ihre Telefonnummer auf eine SIM-Karte zu übertragen, die ihm gehört. Dabei geht es nicht um Scherzanrufe oder um die Erhebung von Ferngesprächsgebühren. Indem sie Ihre eingehenden Nachrichten umleiten, können Betrüger die textbasierten Zwei-Faktor-Authentifizierungsprüfungen, die Ihre sensibelsten Konten schützen, leicht umgehen. Wenn Sie keine Zwei-Faktor-Authentifizierung eingerichtet haben, können sie auch Ihre Telefonnummer verwenden, um Dienste zur Herausgabe Ihrer Passwörter zu verleiten.
http://dif6iv5fktquosdnarb7ripcg5fmk4eyz4ixjwbzfldawqwn743a4xqd.onion
Kurz-URL: Kurz-URL: http://tinyurl.com/the-alphabay
In den meisten Fällen, die wir gesehen haben, kann ein ausreichend entschlossener Angreifer einfach den Online-Fußabdruck einer Person übernehmen.
SIM-Angriffe scheinen die Ursache für eine Reihe von Instagram-Übernahmen in jüngster Zeit zu sein, ebenso wie für das unglückliche, nicht sehr erfreuliche Ereignis, bei dem ein Hacker letztes Jahr die Nacktfotos von Justin Bieber auf dem Konto von Selena Gomez veröffentlichte. Aber sie können sich auch auf andere Bereiche Ihres Lebens auswirken. Ein Kryptowährungsinvestor behauptete diese Woche, dass ein SIM-Tausch zum Diebstahl von Token im Wert von 23,8 Millionen Dollar führte; er verklagt seinen Mobilfunkanbieter AT&T auf das Zehnfache dieses Betrags. Und Motherboard dokumentierte kürzlich eine Reihe von Vorfällen, bei denen SIM-Kapitäne Tausende von Dollar von den Girokonten der Nutzer abhoben.
Ein ernüchternder Vorbehalt: Wenn ein geschickter SIM-Hijacker es auf Sie abgesehen hat, können Sie realistischerweise nicht viel tun, um ihn zu stoppen, sagt Allison Nixon, Bedrohungsforscher beim Sicherheitsunternehmen Flashpoint. “In den meisten Fällen, die wir gesehen haben, kann ein ausreichend entschlossener Angreifer den Online-Fußabdruck einer Person übernehmen”, sagt sie.
Das liegt daran, dass die Machenschaften, die hinter dem SIM-Tausch stehen, größtenteils außerhalb der eigenen Kontrolle liegen. Perfekte Sicherheitshygiene kann nicht immer verhindern, dass jemand Ihren Mobilfunkanbieter austrickst, und das ist vielleicht auch gar nicht nötig. Flashpoint hat Hinweise darauf gefunden, dass SIM-Hijacker Angestellte in Mobilfunkgeschäften rekrutieren, um Zugang zu geschützten Konten zu erhalten. Eine umfassende Lösung für SIM-Swaps würde im Jahr 2018 ein grundsätzliches Überdenken der Rolle von Telefonnummern erfordern. “Telefonnummern waren nie dazu gedacht, die Identität einer Person zu bestätigen”, sagt Nixon. “Die Telefongesellschaften waren nie im Geschäft, um Identitätsdokumente zu verkaufen. Das wurde ihnen aufgezwungen.”
Die gute Nachricht ist, dass Sie Maßnahmen ergreifen können, um die Wahrscheinlichkeit eines SIM-Swap-Angriffs einzuschränken – und die Folgen zu begrenzen, falls es dazu kommt.
Geben Sie eine PIN ein
Alle großen US-Anbieter bieten Ihnen die Möglichkeit, Ihr Konto mit einer PIN oder einem Passcode zu versehen. Nehmen Sie diese Möglichkeit wahr. Eine PIN ist ein zusätzlicher Schutz, eine weitere Information, die ein Angreifer benötigt, um Ihre Identität zu kompromittieren. Das hilft zwar nicht gegen eine Bedrohung durch Insider, ist aber besser als gar nichts.
Bei AT&T können Sie einen vier- bis achtstelligen “Wireless-Passcode” einrichten, indem Sie auf Ihr Profil gehen, dann auf Anmeldeinformationen und dann auf Einen neuen Passcode erhalten. Sie sollten auch das hinzufügen, was der Anbieter als “zusätzliche Sicherheit” bezeichnet, was nur bedeutet, dass der Passcode erforderlich ist, um Ihr Konto online oder in einem Ladengeschäft zu verwalten. Gehen Sie dazu erneut auf Anmeldeinformationen, dann auf Drahtlos-Passcode und aktivieren Sie die Option Zusätzliche Sicherheit verwalten.
Verizon verlangt eigentlich eine PIN, aber um Ihre einzurichten oder zu ändern, gehen Sie auf diese Website und melden Sie sich dann bei Ihrem Konto an. Geben Sie die PIN Ihrer Wahl zweimal ein, klicken Sie auf Senden, und das war’s.
Bei T-Mobile müssen Sie stattdessen anrufen: Wählen Sie von Ihrem Mobiltelefon aus die Nummer 611 und bitten Sie darum, Ihrem Konto eine “Port Validation” hinzuzufügen, für die Sie eine sechs- bis 15-stellige PIN wählen können. Bei Sprint melden Sie sich bei Ihrem Konto an, klicken auf Mein Sprint und gehen dann zu Profil und Sicherheit. Blättern Sie zu Sicherheitsinformationen und aktualisieren Sie dort Ihre PIN.
Ja, es ist mühsam, sich eine weitere PIN zu merken, vor allem, wenn Sie sie wahrscheinlich nur alle paar Jahre brauchen. Aber die Mühe lohnt sich. “Die meisten Leute haben diese Funktion deaktiviert, denn wenn sie sich nicht an ihre PIN erinnern können, können sie nicht in den örtlichen Verizon Store gehen und ein neues Telefon bekommen”, sagt Chet Wisniewski, Principal Research Scientist beim Sicherheitsunternehmen Sophos. “Wenn Sie bei Ihrem Mobilfunkanbieter eine PIN einrichten können, um zu verhindern, dass Ihre Nummer manipuliert wird, sollten Sie das tun. Schreiben Sie sie sich ruhig auf. Niemand wird in Ihr Haus einbrechen und Ihren Notizblock unter Ihrer Unterwäsche in Ihrer geheimen Schublade im Schlafzimmer stehlen.”
Besseres Zwei-Faktor-Verfahren
Wir haben kürzlich darüber gesprochen, aber es lohnt sich, dies zu wiederholen. Es ist zwar besser, die Codes für die Zwei-Faktor-Authentifizierung per SMS zu erhalten, aber im Falle eines SIM-Austauschs hilft das überhaupt nicht. Was wird funktionieren? Verwenden Sie stattdessen eine Authentifizierungs-App.
Apps wie Google Authenticator und Authy bieten Ihnen die gleiche zusätzliche Sicherheit wie die SMS-basierte Zwei-Faktor-Authentifizierung, sind aber an Ihr physisches Gerät gebunden und nicht an die Nummer, die Ihnen die Telefongesellschaft zugewiesen hat. Sie zeigen Ihnen einen sechsstelligen Code an, der etwa alle 30 Sekunden aktualisiert wird und ständig mit dem Dienst synchronisiert wird, mit dem Sie sie verbinden.
Die Herausforderung besteht darin, dass die App-Entwickler einen universellen Identifikator brauchen, und sie haben einfach beschlossen, dass die Telefonnummern so gut wie alles andere sind.
Sie möchten Ihren Zwei-Faktor-Schutz noch weiter ausbauen? Entscheiden Sie sich für eine physische Authentifizierungsmethode, z. B. ein Yubikey. Diese kleinen Anhänger passen an Ihren Schlüsselbund und werden in den USB-Anschluss Ihres Computers gesteckt, um Ihre Identität zu verifizieren. “Wenn Sie einen physischen Token und Ihr Passwort aktiviert haben und die SMS-Funktion deaktivieren, muss jemand buchstäblich Ihre Schlüssel stehlen. Das erhöht das Risiko auf eine ganz andere Ebene”, sagt Wisniewski.
Nicht alle Dienste ermöglichen eine strengere Zwei-Faktor-Verschlüsselung. (Instagram ist das bekannteste Beispiel, obwohl das soziale Netzwerk nach eigenen Angaben daran arbeitet, die angebotenen Optionen zu erweitern.) Aber schalten Sie sie ein, wo immer Sie können, damit Sie die beste Chance haben, sicher zu bleiben.
Zusätzliche Maßnahmen
Wenn ein Hacker über eine Telefonnummer verfügt, die mit einigen Ihrer Online-Konten verknüpft ist, kann er die Zwei-Faktor-Anforderungen manchmal ganz umgehen – womit wir wieder beim Problem der Verwendung von Telefonnummern als Identifikatoren wären. Sich von diesen sieben Ziffern zu lösen, ist im großen Maßstab schwer, aber es lohnt sich, es zumindest bei besonders sensiblen Konten zu versuchen, oder wenn Sie ein hochrangiges Ziel sein könnten.
“Wenn Sie ein bestimmtes Konto haben, von dem Sie wissen, dass es ein Dieb darauf abgesehen hat, wie z. B. Ihr Bankkonto, Ihre Bitcoin-Bestände oder Ihren Benutzernamen in den sozialen Medien, sollten Sie dieses Konto natürlich vom Rest Ihrer Online-Identität trennen”, sagt Nixon. “Wenn Sie besonders paranoid sind, können Sie eine separate Telefonnummer haben, die Sie geheim halten. Ich weiß, dass das ein bisschen übertrieben ist, aber einige Leute, die sich vor diesem Angriffsvektor schützen wollen, versuchen solche Dinge”.
Bei Diensten, für die eine Telefonnummer erforderlich ist, kann man beispielsweise eine Google-Voice-Nummer eintauschen. Wisniewski gibt jedoch zu bedenken, dass sich die zusätzliche Komplexität, die dadurch entsteht, für die meisten Menschen nicht lohnt, vor allem, weil so viele Anwendungen Ihr Konto an die mit Ihrem Telefon verbundene Nummer binden. Womit wir wieder beim Kernproblem angelangt wären.
“Die Herausforderung besteht darin, dass die App-Entwickler einen universellen Identifikator brauchen, und sie haben beschlossen, dass die Telefonnummern so gut wie alles andere sind. Wir wollen keine nationalen ID-Karten, und wir haben keine zentrale Authentifizierungsbehörde”, sagt Wisniewski. “Sie suchen nach einem Mittel, mit dem sie dich identifizieren können, und leider haben sie sich für die Telefonnummer entschieden, die nicht besonders sicher ist.
Die andere Maßnahme, die Sie ergreifen können, so banal sie auch klingen mag, ist Wachsamkeit. Wenn Ihr Smartphone plötzlich nicht mehr funktioniert oder Nachrichten nicht mehr ankommen, wissen Sie, dass Sie Ihre SIM-Karte verloren haben. Je früher Sie handeln, um die Übernahme Ihres Kontos zu verhindern, desto besser ist es für Sie.