mTAN abgefangen: Betrüger räumten Konten in Österreich leer

Erst funktioniert die SIM-Karte nicht mehr und dann ist der Zugriff auf das Konto weg. Die Polizeiorganisation Europol konnte bei der Verhaftung von zwei Banden in Europa helfen, die sich mit sogenanntem SIM-Swapping Zugriff auf Mobilfunknummern verschafften. Dabei geben sich die Angreifer als Kunde eines Telekommunikationsunternehmens aus, der seine Nummer portieren möchte oder eine neue SIM-Karte benötigt. Damit können sie mTANs oder Zwei-Faktor-SMS abgreifen.

Stellenmarkt

1. Leitung der IT-Einheit für die Integration von Cloud Lösungen (m/w/d)
   Deutsche Bundesbank, Hamburg, Frankfurt am Main, Düsseldorf
2. (Senior) Mobile Developer (m/w/d) Android und iOS
   AUSY Technologies Germany AG, verschiedene Standorte

Detailsuche

Mit diesem Trick habe eine vierzehnköpfige Bande Dutzende Konten in Österreich leergeräumt, erklärt Europol. Demnach hätten sich die Betrüger mit zuvor gestohlenen Zugangsdaten des Opfers in die Banking-App eingeloggt. Diese könnten die Angreifer beispielsweise über eine Schadsoftware erlangt haben.

Anschließend hätten die Betrüger in der Banking-App ein Einmal-Passwort beantragt, das ihnen per SMS zugestellt wurde. Mit diesem konnten sie an einem kartenlosen Geldautomat Geld abheben. Europol schätzt, dass die Betrüger auf diese Weise über eine halbe Million Euro gestohlen haben. Das österreichische Bundeskriminalamt, die rumänische Polizei sowie Europol hätten acht Monate ermittelt, um die Bande in Rumänien verhaften zu können.

Gemeinsam mit der spanischen Polizei konnte Europol eine weitere SIM-Swapping-Gruppe in Spanien ermitteln. Diese soll insgesamt über 3 Millionen Euro erbeutet haben. Im Unterschied zu den Fällen in Österreich habe die Gruppe keine Abhebungen, sondern Überweisungen zwischen 6.000 und 137.000 Euro getätigt. Diese seien ebenfalls mit bereits erbeuteten Bankdaten sowie geklonten Handynummern durchgeführt worden.

Golem Akademie

1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
   14.–18. Februar 2022, virtuell
2. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
   16. Februar 2022, Virtuell

Weitere IT-Trainings

Auch in Deutschland gab es bereits Betrugsfälle mit SIM-Swapping. Neben dem Abfischen von mTANs lassen sich SMS häufig auch zum Zurücksetzen von Passwörtern bei beispielsweise E-Mail-Konten verwenden, was die Angriffsfläche weiter vergrößert. Nutzen die Kontoeigentümer ein anderes Verfahren zur Generierung des zweiten Faktors, etwa Chip-TAN, Foto-TAN oder Fido/Webauthn, funktioniert SIM-Swapping entsprechend nicht.