SIM-Swapping-Betrügereien sind in den Vereinigten Staaten ein großes Problem, und die FCC bereitet sich endlich darauf vor, sie zu bekämpfen, indem sie neue Regeln vorschlägt.
SIM-Swap-Angriffe und Port-Out-Betrug sind ein großes Problem, wobei es in den USA fast täglich zu Vorfällen kommt. Jetzt greift die FCC ein.
Diebe haben den Kundenservice von Mobilfunkanbietern ausgenutzt, um den Mobiltelefonanschluss einer Person zu stehlen, ohne jemals physischen Zugriff auf das Originaltelefon zu haben. Dadurch erhält der Angreifer Zugriff auf die SMS-basierten Zwei-Faktor-Authentifizierungscodes einer Person, mit denen er auf alles zugreifen kann, vom E-Mail-Konto des Opfers bis hin zu seinen Kryptowährungskonten.
Der Vorgang wird als „SIM-Swap-Angriff“ bezeichnet und beinhaltet die Kontaktaufnahme mit dem Mobilfunkanbieter des Opfers, um eine Übertragung der Telefonnummer auf eine SIM-Karte einzuleiten, die der Dieb in seinem Besitz hat. Im Erfolgsfall wird das Telefon des tatsächlichen Besitzers sofort außer Betrieb gesetzt und der Dieb erhält Zugriff auf alle an seine Nummer gesendeten Anrufe und Textnachrichten. Der Dieb geht dann schnell vor und kombiniert häufig Daten aus verschiedenen Datenschutzverletzungen, um auf die Konten des Opfers zuzugreifen und ihm Gelder zu entziehen.
Eine ähnliche Methode, „Port-Out-Angriff“ genannt, funktioniert im Wesentlichen auf die gleiche Weise wie ein SIM-Tausch. Dieser Angriff verschiebt die Nummer des Opfers auf einen anderen Mobilfunkanbieter, auf eine Leitung, die dem Dieb gehört.
Die FCC heute bekannt gegeben dass Vorschläge entwickelt werden, um neue Regeln für den Sim-Swap-Prozess zu schaffen. Die Kommission hat offenbar viele Beschwerden von Opfern dieser Angriffe erhalten. Ziel der Regeln ist es, von Netzbetreibern zu verlangen, dass sie die Identität eines Kunden sicher authentifizieren, bevor Nummernübertragungen auf ein neues Gerät oder einen neuen Netzbetreiber zugelassen werden.
Vor allem T-Mobile hatte vieleVorfälle von SIM-Swap-Angriffe, ganz zu schweigen von der großen Datenschutzverletzung schon im August. AT&T hat ähnliche Beschwerden. Verizon scheint von dem Problem am wenigsten betroffen zu sein und erfordert eine direkte Bestätigung des Kontoinhabers, bevor ein SIM-Tausch aktiviert werden kann.
Derzeit wird dringend empfohlen, einen Sicherheitsschlüssel oder eine App-basierte Zwei-Faktor-Authentifizierung zu verwenden und SMS-basierte 2FA wann immer möglich zu vermeiden. Hoffentlich werden die neuen Regeln, die die Kommission erstellt, dazu beitragen, Kontoübernahmen in Zukunft zu vermeiden.