nützliche Artikel

Verhindern und Reagieren auf einen SIM-Swap-Betrug

Als Matthew Miller von ZDNet von einem SIM-Tauschangriff getroffen wurde, beschrieb er ihn als eine „Horrorgeschichte“, die dazu führte, dass er „jahrzehntelange Daten“ verlor. Und er ist nicht hyperbolisch. mehr als eine Woche später hat er immer noch mit den Nachwirkungen zu tun, und es gibt keine Garantie von einigen der großen Technologieanbietern - einschließlich Twitter und Google -, dass er jemals wieder auf das zugreifen kann, was seine Angreifer vermasselt haben.

Das Austauschen von SIM-Karten ist eine große Sache, insbesondere wenn Sie sich aktiv in der Kryptowährungs-Community engagieren - eine großartige Möglichkeit für einen Angreifer, Ihr Leben ein wenig durcheinander zu bringen. Glücklicherweise können ein paar kleine Änderungen an Ihren Kontosicherheitspraktiken dazu beitragen, die Wahrscheinlichkeit zu verringern, dass dieses irritierende Problem jemals Ihren Tag (oder Monat) ruiniert.

Was ist SIM-Tausch?

Beim SIM-Austausch wird Ihr Mobilfunkanbieter von einem Hacker dazu verleitet, zu glauben, dass Sie Ihre SIM-Karte auf einem anderen Gerät aktivieren. Mit anderen Worten, sie stehlen Ihre Telefonnummer und verknüpfen sie mit der SIM-Karte.

Wenn dieser Angriff erfolgreich ist, wird Ihr Gerät deaktiviert und sein Gerät wird nun zum Ziel für alle Texte, Anrufe, Daten und Konten, die mit Ihrer Telefonnummer und SIM-Karte verknüpft sind. Mit diesen Informationen kann der Angreifer problemlos auf Ihre App-Konten, persönlichen Daten und Finanzinformationen zugreifen. Sie könnten Sie sogar für immer aus Ihren Diensten heraussperren.

Überlegen Sie, wie viele Apps und Konten Ihre Telefonnummer verwenden, um Ihre Identität zu überprüfen - und nicht einmal, wenn Sie sich mit Ihrem Benutzernamen und Kennwort anmelden, die ein Angreifer nicht kennt, sondern mit welchen Wiederherstellungsmechanismen Sie dies zurücksetzen würden Schlüsselinformation. Die gesamte Kontosicherheit der Welt wird nicht viel nützen, wenn ein Angreifer so tun kann, als ob er Sie wäre, indem er einfach Ihre Telefonnummer übernimmt.

Wie sieht ein SIM-Tausch-Betrug aus?

Eine Person benötigt keinen physischen Zugriff auf Ihr Telefon, um einen SIM-Austausch durchzuführen. Sie kann dies alles remote tun, unabhängig von der Marke und dem Modell Ihres Geräts oder Ihrem Diensteanbieter. Sie müssen nur über genügend Informationen verfügen, um einen Kundendienstmitarbeiter davon zu überzeugen, dass sie Sie sind. Möglicherweise sehen Sie keinen SIM-Tausch-Betrug auf Ihrem Weg, bis es zu spät ist.

Am einfachsten können Sie feststellen, dass Sie von einem SIM-Tausch betroffen sind, wenn Sie auf Ihrem Telefon ein seltsames Verhalten feststellen, z. B. die Unfähigkeit, SMS und Anrufe zu senden oder zu empfangen, obwohl der Dienst nicht ausgeschaltet ist. Empfangen von Benachrichtigungen von Ihrem Provider, dass Ihre Telefonnummer oder SIM-Karte an anderer Stelle aktiviert wurde; oder Sie können sich in keinem Ihrer wichtigen Konten anmelden. Betrachten Sie dieses aktuelle Beispiel aus Matthew Miller von ZDNet:

Verhindern eines SIM-Swap-Angriffs

Es ist im Moment viel einfacher, eine Verteidigung gegen einen SIM-Tausch-Angriff einzurichten, als gegen die Folgen des einen - einer ist geringfügig ärgerlich, der andere verbraucht Ihre Woche (oder mehr).

Vorsicht vor Phishing-Angriffen

Der erste Schritt bei einem SIM-Swap-Angriff ist normalerweise (aber nicht immer) Phishing. Skizzierte E-Mails mit böswilligen Links, gefälschten Anmeldebildschirmen und gefälschten Adressleisten - es gibt viele Formen von Phishing-Betrug, aber sie sind leicht zu erkennen, wenn Sie wissen, worauf Sie achten müssen. Klicken Sie nicht auf Links, laden Sie keine Programme herunter und melden Sie sich nicht bei Websites an, die Sie nicht kennen. Wenn ein Angreifer durch diese Angriffe genügend wichtige Daten über Sie erhält, verfügt er über die erforderlichen Informationen, um einen SIM-Tausch durchzuführen.

Reduzieren Sie übermäßige persönliche Daten online

Unabhängig davon, ob es sich um Phishing oder ein Ersatzprodukt handelt, umfasst der andere frühe Teil eines SIM-Austauschs das Social Engineering. Im Grunde genommen werden so viele Daten wie möglich erfasst, damit der Hacker zuverlässig über das Telefon oder eine E-Mail an Sie weitergeben kann.

Um dies zu verhindern, sollten Sie Ihre Telefonnummer, Ihr Geburtsdatum, Ihre Postanschrift und alle anderen kompromittierenden Informationen so weit wie möglich von Ihren Konten fernhalten und diese Informationen nicht öffentlich zugänglich machen, wenn Sie dies vermeiden können. Einige dieser Daten sind für bestimmte Dienste erforderlich, Sie müssen jedoch nicht in sozialen Medien durchsuchbar sein. Sie sollten alle Konten kündigen und löschen, die Sie vorsichtshalber nicht mehr verwenden.

Schützen Sie Ihre Konten

Viele digitale Konten verfügen über Einstellungen, mit denen Sie Ihre Konten zurücknehmen können, falls sie jemals gestohlen wurden. Sie müssen jedoch ordnungsgemäß eingerichtet werden, damit das Konto gestohlen werden kann. Dies können sein:

  • Erstellen einer PIN-Nummer, die für Anmeldungen und Kennwortänderungen erforderlich ist. Dies ist besonders wichtig für die Einrichtung mit Ihrem Mobilfunkanbieter, da dies eine hervorragende Abwehr gegen die Entführung von SIM-Karten ist.
  • Eine geeignete Zwei-Faktor-Sicherheitsmethode, die sich bei der Anmeldung auf ein physisches Gerät wie Google Authenticator oder Authy stützt und nicht auf eine SMS-basierte Überprüfung. Sie können auch nach einem Hardware-Token suchen, um Ihre Konten zu schützen, wenn Sie wirklich Lust haben.
  • Starke Antworten auf Fragen zur Sicherheitswiederherstellung, die nicht an Ihre persönlichen Daten gebunden sind.
  • Lösen Sie nach Möglichkeit die Verknüpfung Ihrer Smartphone-Telefonnummer mit Ihren Konten. (Sie können jederzeit eine kostenlose Google Voice-Nummer verwenden, wenn Sie eine für Ihre vertraulichen Konten benötigen.)
  • Verwenden langer, zufälliger und eindeutiger Kennwörter für jedes Konto.
  • Verwenden Sie einen verschlüsselten Passwort-Manager.
  • Verwenden Sie nicht Ihre bevorzugten Dienste (Google, Facebook usw.), um sich bei anderen Diensten anzumelden. Ein Angreifer muss nur in eines einbrechen, um auf viel mehr von Ihrem digitalen Leben zugreifen zu können.

Sie sollten auch wichtige kontobezogene Informationen zur Kenntnis nehmen, anhand derer Sie als rechtmäßiger Kontoinhaber identifiziert werden können, z.

  • Der Monat und das Jahr, in dem Sie das Konto erstellt haben
  • Vorherige Anzeigenamen im Konto
  • Physische Adressen, die dem Konto zugeordnet sind
  • Kreditkartennummern, die mit den Konten oder Kontoauszügen verwendet wurden, die bestätigen, dass Sie derjenige waren, der Einkäufe getätigt hat
  • Inhalte, die von den Konten erstellt wurden, z. B. Charakternamen, wenn das Konto für ein Online-Videospiel bestimmt ist

Wenn Sie eine Liste aller Ihrer kritischen Konten führen, können Sie leichter auf SIM-Swaps oder ähnlichen ID-Diebstahl reagieren, da Sie jedes Konto sicher durchsuchen und Kennwörter, E-Mail-Adressen usw. ändern können. Lassen Sie all diese Informationen sicher speichern - vielleicht sogar als physischer Ausdruck einer Textdatei -, anstatt sie in einem Dienst zu speichern, der einer digitalen Entität zugeordnet ist (in die eingebrochen werden könnte).

Dezentralisieren Sie Ihren Online-Footprint

Verwenden Sie verschlüsselte Open-Source-Apps und -Dienste anstelle der Apps von Google, Apple und Microsoft, um die Verbreitung wichtiger Daten zu gewährleisten. Die vertraulichsten Daten werden an Orten mit der höchsten Sicherheit gespeichert. Dies gilt für E-Mails, Messaging-Apps, Bank-Apps usw. Google Drive und iCloud sind großartig. Wenn jedoch alles auf einem Laufwerk läuft - einschließlich persönlicher Finanzinformationen usw. - sind Sie fertig.

Außerdem sollten Sie bestimmte Daten vollständig aus der Cloud entfernen. Werfen Sie Ihre Steuererklärungen nicht in Ihr Google Drive. Wenn jemand Zugriff erhält, hat er plötzlich eine Menge wichtiger Informationen über Sie (und viele Informationen, mit denen er vortäuschen kann, Sie zu sein). Und bitte, egal was passiert, führen Sie in einem einfachen Cloud-Speicherkonto keine Liste Ihrer gängigen Kennwörter, Sicherungs-Anmeldeschlüssel und der PDF-Datei für die Kontowiederherstellung Ihres Kennwortmanagers.

So reagieren Sie auf einen SIM-Tauschangriff

Wenn Sie den Verdacht haben, Opfer eines SIM-Austauschs oder eines Identitätsdiebstahls zu werden, führen Sie alle folgenden Schritte schnell aus:

  • Melden Sie sich bei Ihrem örtlichen Polizeibüro und der FTC über Identitätsdiebstahl.
  • Machen Sie Ihre Banken / Finanzinstitute auf den potenziellen Identitätsbericht aufmerksam, und beantragen Sie, dass die Vormerkungen auf Ihren Konten und Bankkarten vermerkt werden. Wenden Sie sich dann an alle drei Kreditbüros (Experian, Equifax und TransUnion), um ein Einfrieren Ihres Kredits zu beantragen und potenziellen Kreditbetrug zu kennzeichnen. Wenn Sie vermuten, dass Ihre Steueridentität oder Ihre Sozialversicherungsnummer in Frage gestellt wurden, wenden Sie sich an das IRS. Möglicherweise möchten Sie sogar Ihr Bankkonto oder Ihre Kreditkartennummern ändern.
  • Melden Sie den Identitätsdiebstahl Ihrem Mobilfunkanbieter. Beachten Sie jedoch, dass sie möglicherweise nicht viel tun können (da der Hacker Ihre Telefonnummer ist und alle), es sei denn, Sie können ausreichend nachweisen, dass dies geschehen ist und Sie der rechtmäßige Kontoinhaber sind.
  • Wenn Sie über eine Offline- / Analogliste Ihrer Konten und deren Informationen verfügen, ändern Sie die E-Mail-Adresse und das Kennwort jedes Kontos (stellen Sie sicher, dass die neue E-Mail-Adresse nicht an Ihre Telefonnummer gebunden ist; eine neue funktioniert am besten) und aktualisieren Sie die Sicherheit aller anderen Konten Maße. Die wichtigsten Ausgangspunkte sind Ihre E-Mail-Adresse (n) und Finanzinstitute, einschließlich PayPal, Venmo usw., sowie alle Konten, die mit Ihrer Telefonnummer oder Ihren Google- / Apple-Konten verknüpft sind.
  • Wichtig: Wenn diese Option aktiviert ist, werden KEINE Bestätigungscodes oder Rücksetzlinks an Ihre Telefonnummer gesendet. Diese werden an den Hacker gesendet, nicht an Sie.
  • Wenn Sie sich nicht bei einem Konto anmelden oder Ihr Passwort zurücksetzen können, wenden Sie sich so schnell wie möglich an den Kundendienst dieses Kontos und erläutern Sie die Situation. Sie werden aufgefordert, Ihre Identität nachzuweisen. Wenn Sie also so viele Informationen wie möglich über das Konto haben, können Sie die Kontrolle zurückerhalten.