Die SIM Karten Betrugsmasche “SIM Swap” ist auch bei uns ein Thema.
Der Betrug basiert auf Social Engineering des Kundendienstes beim Provider - Sunrise - oder auch auf einem gehackten My Sunrise Konto.
Der Betrug beruht auf einem an sich normalen und meist legitimem Vorgang, nämlich der Übertragung der SIM Karteninfo und Telefonnummer auf eine neue. Egal ob physische SIM oder ESIM.
Die Betrügerin wird versuchen, den Kundendienstmitarbeiter davon zu überzeugen, dass eine neue SIM benötigt wird. Die alte sei defekt, definitiv gesperrt oder gar eine ZusatzSIM bestellt. Dann muss sie nur noch die Post abfangen.
Im Falle der ESIM muss sie nur Zugang auf das MySunrise Account haben und kann sodann die ESIM Daten wiederholt herunterladen.
Sobald sie Kontrolle über die SIM hat, stehen ihr viele Möglichkeiten zur Abzocke offen. Weil nämlich der ganze Telefon- und SMS-Verkehr auf diese SIM weitergeleitet wird.
Besonders fatal wirkt sich das bei Zahlungen aus, wo seit längerem gerade von Finanzdienstleistern auf zweistufige Ident-/Authentifikation gesetzt wird.
Dabei wird ein Einmalcode an die entsprechende Telefonnummer geschickt - per SMS -, dieser wird eingegeben und der Vorgang, z.B. eine Zahlung wird ausgelöst. In diesem Fall eben von der Betrügerin.
Sunrise wirkt diesem bereits vor, indem der Kundendienstler nach dem Namen, dem Vornamen der Adresse und dem Geburtsdatum fragt. Leider sind diese Daten von Dritten sehr leicht zu beschaffen.
Ich rege daher an, dass das Ident-/Authentifikationsverfahren bei Sunrise ausgebaut wird.
Ich stelle mir eine Serie von Sicherheitsfragen vor, deren Antworten vom Kunden - z.B. in MySunrise - vorgegeben werden und nur vom Kundendienstler eingesehen werden kann. Dieser stellt eine oder zwei der Fragen und handelt nur bei korrekten Antworten.
Das Verfahren kann bei sensitiven Vorgängen auch online in MySunrise angewandt werden. Z.B. ESIM oder bei Bestellungen.
Mit einfachen Mitteln kann so die Sicherheit beträchtlich erhöht werden. Nicht 100% aber sicher besser als heute.