S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Angriff

SIM-Swapping

Betrug, bei dem Angreifer einen Mobilfunkanbieter dazu bringen, eine Telefonnummer auf eine neue SIM-Karte des Angreifers zu übertragen.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Deine Handynummer ist wie eine Identität. Wenn ein Betrüger deinen Mobilfunkanbieter anruft und behauptet, du zu sein, kann er deine Nummer auf seine SIM-Karte übertragen lassen. Ab dann bekommt er alle deine SMS — auch die Codes von deiner Bank.

Ausführliche Erklärung

SIM-Swapping (auch SIM-Hijacking) nutzt Social Engineering gegen Mobilfunkanbieter-Mitarbeiter oder ausgenutzte Sicherheitslücken in Kundenportalen. Mit der übernommenen Telefonnummer können Angreifer SMS-basierte Zwei-Faktor-Authentifizierung umgehen, da alle SMS (inkl. Einmalcodes) nun an den Angreifer gehen. Besonders gefährdet: Kryptowährungs-Investoren, prominente Social-Media-Nutzer und Personen die SMS-MFA nutzen.

>Wie funktioniert das?

1

Angreifer sammelt persönliche Daten über das Opfer (Name, Adresse, Accountdaten via OSINT oder Datenleck)

2

Kontaktiert den Mobilfunkanbieter (per Anruf, Chat oder Filialbesuch)

3

Gibt sich als Opfer aus und behauptet, die SIM verloren zu haben

4

Anbieter-Mitarbeiter überträgt Nummer auf neue SIM (in Angreifer-Besitz)

5

Alle SMS gehen nun an den Angreifer — MFA-Codes, Bank-TANs, Passwort-Reset-Links.

?Häufig gestellte Fragen
Antwort

Kryptowährungs-Investoren und -Händler, prominente Social-Media-Nutzer (Twitter/X-Accounts), Personen die SMS-MFA nutzen und Menschen mit öffentlich verfügbaren persönlichen Daten.

Antwort

Alle SMS-MFA-Codes empfangen, Passwort-Resets per SMS anfordern, Banking-TANs abfangen — und damit vollständige Kontrolle über E-Mail, Social Media, Banking und Krypto-Wallets erlangen.

Antwort

Durch spektakuläre Angriffe auf Twitter/X (2020 Bitcoin-Scam über gehackte Prominenten-Accounts), Krypto-Diebstähle in Millionenhöhe und Angriffe auf US-amerikanische Mobilfunkanbieter.

Antwort

Weil Social Engineering gegen menschliche Mitarbeiter funktioniert, Schulungen unvollständig sind, wirtschaftlicher Druck schnellen Kundenservice belohnt und Angreifer oft gut vorbereitet sind.

Antwort

Passkeys oder Authenticator-App statt SMS-MFA nutzen, bei Mobilfunkanbieter einen SIM-Swap-Lock oder PIN einrichten, Telefonnummer nicht als primäre Kontakt-ID für wichtige Accounts nutzen.

Quick Facts
KategorieAngriff
Verwandte Begriffe4
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC