Recent searches
Search options
Beim SIM-Swapping übernehmen Cyberkriminelle die Kontrolle über eure Mobilnummer 
. Sie geben sich dafür bei eurem Provider als rechtmäßiger Besitzer aus und bringen ihn dazu, ihnen eine neue SIM-Karte zu schicken. Mit der SIM-Karte können sie dann Zugriff auf eure Konten bekommen. 
#DeutschlandDigitalSicherBSI
#InformationSecurity #CyberSecurity
@bsi Liebes BSI, wieso muss ICH mich eigentlich vor SIM-Swapping schützen und nicht der Provider?
Ist nur 'ne rhetorische frage, ihr habt ja eh nur so einen Write-only-account...
@Bebef Sehe ich ähnlich. Seit Jahrzehnten kann ich keinen Account ohne Telefonsupportpaßwort mehr erstellen. Und wenn der Provider eine E-Mail oder einen Anruf bekommt, in der jemand sich als mich ausgeben möchte und gleichzeitig die Adresse ändert und damit durchkommt, sehe ich die Haftung ähm Verantwortung stark beim Provider...
Selbst wenn jemand meine Daten kennt (Geburtsdatum, Kontonummer, ...) - in einem Anruf "SIM verloren" und "Adresse geändert" sollte Alarmglocken schrillen lassen.
@jesterchen Ja, ich habe auch irgendwie so den Eindruck, dass das eher in den Vereinigten Staaten (oder anderen Ländern) ein Problem ist.
Dazu kommt noch, dass auch kriminelle Mitarbeiter der Telcos mitgeholfen haben. Davor schützt man sich halt gar nicht... 
@Bebef Nuja. Audit-Log mitführen, Prozesse für SIM-Ersatz einführen. Kontrollieren. Und im Falle eines Mißbrauchs an dieser sensiblen Stelle Rausschmiß. Dann kann man die Methode zwar immer noch vereinzelt nutzen, aber eben immer nur 1x pro kriminellem MA. 
@Bebef
Bei den Details kenne ich mich nicht aus, aber ganz allgemein:
Wenn es Situationen gibt, in denen Du selbst eine neue SIM brauchst, dann muss es einen Weg geben, die zu bekommen, und zwar ohne die alte SIM (oder das Handy, in dem sie steckte) zu besitzen.
Je schwieriger es für andere gemacht wird, diesen Weg an Deiner Stelle zu gehen, desto umständlicher wird es tendenziell auch für Dich, wenn Du dingend einen Ersatz brauchst.
@bsi
@Mr_Teatime @bsi Ja sicher, der Weg muss dann aber eine persönliche Zustellung an die bekannte Adresse sein und nicht an "irgendjemand" "irgendwo".
@Bebef
hat denn Dein Provider jederzeit Deine aktuelle Adresse? Ich melde mich bei denen nicht um, wenn ich umziehe... bis jetzt lief es meistens so, dass ich sowohl Adressänderungen als auch Bestellungen von Ersatz-SIMs über den Kundenaccount online regeln konnte. Selbst von meinen internstionalen Umzügen wussten die Provider nichts. Hab die Prepaid-SIM leertelefoniert (kann auch mal nen Jahr dauern) und mir dann lokal ne neue besorgt.
@bsi
@bsi Gibt es Statistiken zur Häufigkeit solcher Angriffe? Das wird ja wohl eher selten stattfinden. Und gibt es eine Unterscheidung zwischen beruflichen und privaten Zielen? Wieso sollte ein Angreifer derart viel Aufwand in einzelne Privatpersonen stecken?
Kontoauszüge sind übrigens wie Videokameras: die verhindern das nicht, die helfen höchstens hinterher...
@jesterchen Hi, eine statistische Auswertung zu Betroffenenzahlen liegt uns nicht vor. Aufgrund der weitverbreiteten Nutzung von Smartphones kann man davon ausgehen, dass diese Angriffsmethode - weltweit - nicht selten und Tendenz steigend versucht wird. Die Methode kommt sicher häufiger vor, zum Erfolg führt sie jedoch immer dann, wenn beim Mobilfunkanbieter zu geringe Sicherheitsbarrieren (detaillierte Sicherheitsfrage vs. Abfrage der Adresse oder E-Mail-Adresse) vorhanden sind. [1/2]
@jesterchen Attraktiv sind auch private Kunden, denn diese können durchaus Einfallstor zu z.B. Unternehmensnetzwerken oder den jeweiligen sozialen Kontakten sein. Viele Grüße vom BSI-Social-Media-Team [2/2]
@bsi Danke euch. Immer schön, weiter Vektoren, Einschätzungen zum Überdenken der eigenen Sicht zu bekommen. 
