CoinDesk erklärt SIM-Jacking

Heute brechen wir SIM-Karten-Angriffe so auf, dass selbst Ihr Opa sie verstehen kann. Sie werden sowohl im Audio- als auch im Volltextformat dargestellt.

Im Pantheon der Krypto-Hacks ist das „SIM-Jacking“ eines der schlimmsten. Der Hack, der weniger ein Hack als vielmehr ein Social Engineering ist, ist im Grunde eine Form des Identitätsdiebstahls, bei dem der Angreifer die SIM-Karte eines Opfers aus der Ferne austauscht, normalerweise mithilfe Ihres Mobilfunkanbieters, und dann in die E-Mail des Opfers einbricht. Krypto, Bankkonten, im Grunde all die Dinge, in die definitiv niemand einbrechen soll. Und die Konsequenzen können schlimm sein, es hat auch Angreifer in den letzten Jahren zig Millionen an Beute gebracht.

Es ist kühn, aber es ist auch vermeidbar, mit ein wenig Bewusstsein

In dieser Episode von CoinDesk Explains erklären die CoinDesk-Redakteure Adam B. Levine und John Biggs den Angriff, was er für Sie bedeuten könnte, wie er funktioniert und was Sie hier tun können, um ihn auf eine Weise zu verhindern, die selbst John verstehen könnte. Besonderer Dank geht an Sicherheitsguru Ralph Echemendia für den Rat im heutigen Podcast.

Adam : Im Pantheon der Krypto-Hacks ist „SIM-Jacking“ eines der schlimmsten. Der Hack, der weniger ein Hack als ein Social Engineering ist, ist im Grunde eine Form des Identitätsdiebstahls, bei dem der Angreifer die SIM-Karte eines Opfers aus der Ferne austauscht, normalerweise mithilfe Ihres Mobilfunkanbieters, und dann in Ihre E-Mail-Krypto einbricht , Bankkonten, im Grunde all das Zeug, in das definitiv niemand einbrechen soll. Es ist kühn, aber mit ein wenig Bewusstsein vermeidbar. Und die Konsequenzen können schlimm sein, es hat auch Angreifer in den letzten Jahren zig Millionen an Beute gebracht.

John: Willkommen bei CoinDesk Explains, einer gelegentlichen Serie des Markets Daily-Teams, in der wir die komplexe Welt der Blockchains und Kryptowährungen wie Bitcoin aufschlüsseln und erkunden. Ich bin John Biggs …

Adam: … und ich bin Adam B. Levine. In der heutigen eng verbundenen Welt ist es immer schade, Ihr Telefon zu verlieren, aber wenn Sie diesem Satz „Ihr Geld“ hinzufügen, ist es noch schmerzhafter.

Diesmal sprechen wir also darüber, wie manche Menschen ihre Telefone verloren haben [und] mit Hilfe eines cleveren Social Engineering manchmal zig Millionen Dollar dazu.

Bitcoin

Adam : Also John, du hast das aus erster Hand erlebt, oder?

John : Auf jeden Fall. Im Jahr 2017 haben einige Esel ihre SIM-Karte gegen meine ausgetauscht. Ich schätze, sie haben T-Mobile angerufen und so getan, als wären sie ich. Sie sagten: „Hallo, das ist John Biggs, ich habe mein Telefon aktualisiert oder so und Sie müssen den Dienst auf mein neues Telefon übertragen.“ Natürlich habe ich nicht angerufen, aber T-Mobile muss ihnen geglaubt und es möglich gemacht haben.

John : So einfach ist das. Der eigentliche Trick besteht darin, dass Sie, wenn Sie mit der ersten Wiederholung keinen Erfolg haben, im Grunde unbegrenzt oft zurückrufen können, bis der Support Ihrer Telefongesellschaft ausfällt, das Sicherheitsprotokoll vergisst und sich bereit erklärt, die Änderung vorzunehmen. Und diese Jungs sind wirklich schlau, mit wie weinenden Babygeräuschen im Hintergrund und so.

Adam : Das ist der Social Engineering Teil. Niemand hackt oder greift Ihr Telefon selbst an, er nutzt die Tatsache aus, dass der T-Mobile-Support Ihnen helfen möchte oder zumindest nicht zu sehr von Ihnen angeschrien wird. Wenn also jemand anruft und vorgibt, Sie zu sein, kann er jemandem helfen, der versucht, stattdessen von Ihnen zu stehlen.

Also was ist passiert?

John: Ja, mein Mobilfunkanbieter hat es in Ordnung gekauft und ihnen geholfen, indem er ihr neues Telefon mit meiner aktuellen Nummer aktiviert hat. Dies wiederum schaltete die Netzwerkdienste für mein Telefon aus und ermöglichte es dem Hacker, die meisten meiner Google Mail-Passwörter, mein Facebook-Passwort und Text in meinem Namen zu ändern.

Adam: Ok, jetzt haben sie dein Handy, sie bekommen deine Anrufe, sie bekommen deine Textnachrichten und du nicht. Aber wie können sie all diese Passwörter ändern?

John: Nahezu jeder Dienst von Google Mail über Facebook, Coinbase bis BYNANCE befürchtet, dass Sie Ihre Passwörter nicht gut verwalten können. Sie haben also etwas noch Unsichereres getan, indem sie eine Zwei-Faktor-Authentifizierung per SMS hinzugefügt haben. Viele Unternehmen haben damit aufgehört, aber es ist immer noch ein riesiges Loch.

Adam : Als Ihr Telefon zu ihrem Telefon wurde, konnten sie jetzt Ihr Passwort zurücksetzen.

John : Richtig. Alle Zwei-Faktor-Benachrichtigungen gingen standardmäßig an meine Telefonnummer, die jetzt ihre Telefonnummer war. Daher erhielt ich keine der Benachrichtigungen und war in etwa zwei Minuten von meinem digitalen Leben ausgeschlossen.

Adam : Autsch.

John: Ja … ich habe das alles gegen 22 Uhr bemerkt und hatte Glück. Ich wusste, was los war und rief T-Mobile an. Gegen 22:30 Uhr setzte ich meine alte SIM-Karte zurück und begann, alle meine Passwörter zu ändern und meine Zwei-Faktor-Konten und mein T-Mobile-Konto zu sichern.

Adam : Haben sie etwas bekommen?

John : Das ist also eine lustige Geschichte. Eine Woche bevor ich mit jemandem in Krypto auf Facebook gesprochen habe. Ich vergesse was ist. Ein paar Tage später erhielt ich eine Nachricht von diesem Typen im Facebook Messenger: „Hey, ich bin in einer wirklich schlechten finanziellen Situation und kann nicht an meine Krypto gelangen. Kannst du mir sechs Bitcoin richtig schicken und ich schicke dir morgen acht? “

Und ich bin wie „Huh, das klingt nach einem guten Geschäft!“