Wer sein Handy für Banking und Finanzen nutzt, muss besonders vorsichtig sein. Das erfahren seit letztem Jahr vermehrt auch Menschen in Japan, die Opfer einer Betrugsmasche namens „SIM Swap“ werden.
Der dabei verwendete Trick, mit dem die Telefonnummer eines Opfers auf eine neue SIM-Karte übertragen wird, ist bei weitem nicht neu. Schon seit 2016 gibt es diese Form des Handy-Betrugs weltweit. Besonders betroffen waren Staaten in Afrika und Südostasien, wo Online-Sicherheit kaum Thema ist.
Online-Banking auf dem Handy beliebtes Ziel für Betrug
Dass Japan nun erst so spät von dem Phänomen erreicht wird, liegt an einer Neuregelung, die 2021 in Kraft trat. Bis dahin gab es in Japan sogenannte „SIM Locks“, mit denen Handys an bestimmte Netz-Anbieter oder sogar SIM-Karten gebunden werden konnten.
Das Ende der SIM Locks, das 2021 beschlossen wurde, erlaubt es Handy-Besitzern nun, ihre SIM-Karten in jedem beliebigen Handy zu verwenden. Was für die Nutzer mehr Wahlfreiheit bedeutet, macht seitdem aber auch den „SIM Swap-Betrug“ in Japan möglich.
Das musste etwa der 61-jährige Ryuji Tanigawa, Transportunternehmer in Kobe, feststellen. Sein Handy ließ ihn plötzlich keine Anrufe mehr tätigen. Doch das allgemeine Netz funktionierte – Kollegen und Bekannte hatten normalen Empfang.
Also wandte sich Tanigawa an eine Filiale seines Anbieters. Dort wurde ihm mitgeteilt, dass sein Vertrag gekündigt und seine Handy-Nummer zu einem anderen Anbieter übertragen wurde. Stattgefunden hatte das in der Stadt Nagaokakyo nahe Kyoto, weit von Tanigawa entfernt.
SIM Swap umgeht Zwei-Faktor-Authentifizierung
Ein Blick auf sein Online-Konto bestätigte schließlich seine schlimmsten Befürchtungen. Rund 10 Millionen Yen (ca. 66,610 Euro) waren an einen unbekannten Empfänger überwiesen worden. Nach Einschätzung der Polizei wurde Tanigawa Opfer einer kriminellen Bande – die Täter hatten seine Handynummer übernommen und ihn somit beraubt.
Hintergrund dieser Form des Handy-Betrugs sind moderne Sicherheitsstandards bei vielen Banken und Zahlungs-Anbietern. Wer kennt es nicht, dass man zur Bestätigung einer Transaktion zuerst einmal einen Code eingeben muss, den man über das Handy erhält, zum Beispiel per SMS.
Diese sogenannte Zwei-Faktor-Authentifizierung soll sicherstellen, dass das alleinige hacken eines Accounts nicht ausreicht. Ohne Zugang zum Handy des Kontobesitzers bleibt das Geld sicher. Mit dem SIM Swap umgehen Kriminelle diese Sicherheitsmaßnahme.
Grob funktioniert der Trick so: Zuerst wird das Opfer mit Phishing-Nachrichten konfrontiert. Die stammen vorgeblich von der eigenen Bank oder anderen wichtigen Institutionen und sollen persönliche Daten und Passwörter abfragen. Besonders ältere Nutzer ohne viel Erfahrung werden oft Opfer eines solchen Phishing.
Mit den gewonnenen Daten generieren die Täter dann einen gefälschten Identitätsnachweis, der zum Abschluss eines Handy-Vertrags ausreicht. Bei einem Telefonanbieter wird vorgegaukelt, das Handy wäre verloren gegangen, man möchte den Vertrag beenden und die Nummer zum neuen Anbieter mitnehmen.
Kriminelle agieren weltweit – und setzen Handlanger vor Ort ein
Gelingt das, haben die Täter nun eine SIM-Karte mit der Telefonnummer ihres Opfers, sowie die Zugangsdaten zum Online-Banking – und können so die Sicherheitscodes empfangen. In einem Fall im Mai in der Präfektur Tochigi vergingen zwischen der Ausstellung der neuen SIM-Karte und dem Diebstahl vom Konto gerade einmal 15 Minuten.
Die Täter sind für die Polizei kaum auszumachen und könnten theoretisch überall auf der Welt sitzen. Um die SIM-Karten abzuholen, in ein Handy einzulegen und die relevanten Sicherheitscodes zu empfangen, braucht es zwar Personen vor Ort, dafür heuern die Täter aber oft Handlanger an.
So wurde in Tochigi eine arbeitslose Frau von der Polizei verhaftet, die im Auftrag der Haupttäter handelte. Ihre Anweisungen hatte sie über die Messaging-App Telegram erhalten, die für Sicherheitsbehörden kaum zugänglich ist. Rund 1,2 Millionen Yen (ca. 8000 Euro) erhielt sie für ihre Dienste – ein Bruchteil dessen, was die Täter von den Konten ihrer Opfer erbeuten konnten.
Grundlegende Tipps für Online-Sicherheit schützen vor Betrug
Um den Schaden durch SIM Swap-Betrug einzudämmen, verweisen Japans Behörden auf Schutzmaßnahmen gegen Phishing und Online-Betrug, gerade bei der Nutzung von Handys. Wer auf einer Internet-Seite persönliche Daten eingeben möchte, sollte zuerst sicherstellen, dass es sich wirklich um die korrekte Seite des Anbieters handelt und nicht um eine Fälschung.
Generell sollte beim Empfang von verdächtigen E-Mails und Nachrichten immer Vorsicht gelten. Keine Behörde oder Bank meldet sich ohne vorherige Ankündigung über ungewöhnliche Kommunikationswege wie Messaging-Apps oder SMS. Auch beim Öffnen von Anhängen sollten Nutzer prüfen, ob es sich nicht um Schadsoftware handelt.
Beim Online-Banking gibt es außerdem oft die Möglichkeit, anstatt von SMS-Codes eine zweite App zur Authentifizierung einzusetzen. Das mag umständlicher sein, erhöht aber die Sicherheit, da selbst ein SIM Swap den Tätern so keinen Zugang zum Konto erlaubt.
Zuletzt rufen Japans Behörden aber auch die Telefonanbieter selbst auf, vorsichtiger zu sein. Bevor eine neue SIM-Karte ausgestellt wird, könnten die Anbieter etwa kurz die betroffene Nummer anrufen, um festzustellen, ob es sich bei ihrem „Kunden“ wirklich um die richtige Person handelt. Ryuji Tanigawa hätte sich mit dieser einfachen Maßnahme eine Menge Ärger erspart.
