Seit einigen Monaten nutzen Hacker die eSIM-Technik, um Zugriff auf Bankkonten und Kreditkarten der betroffenen Opfer zu erhalten.
Die Abkürzung eSIM steht für embedded Subscriber-Identity-Module. Der neuartige Chip befindet sich in modernen Smartphones und übernimmt bei Bedarf die Funktion der haptisch vorhandenen SIM-Karten, die man austauschen kann. Pro SIM-Karte gab es nur eine zugehörige Telefonnummer. Wer diese früher ändern wollte, musste die SIM-Karte am Gerät austauschen. Zwar kann man die Daten der eSIM nicht ohne weiteres später kopieren oder auslesen. Doch verbaute Hardwaremodule gelten generell als deutlich sicherer als Softwarelösungen.
eSIM-Swapping betrifft auch Konten, die mit 2FA geschützt sind
Dmitry Dudkov von der russischen IT-Sicherheitsfirma F.A.C.C.T. berichtet von einem Szenario, welches aber schon seit einigen Monaten von Cyberkriminellen ausgenutzt wird. Um den Zugriff auf eine Handynummer zu erlangen, verwenden Eindringlinge die Funktion zum Ersetzen oder Wiederherstellen einer digitalen SIM-Karte. Das heißt sie übertragen das Telefon mit eSIM von einem fremden Smartphone auf ihr eigenes Gerät. Ohne eSIM-fähiges Smartphone funktioniert das Ganze natürlich nicht. Bei russischen Finanzinstituten soll es mit Ausnutzung dieser Methode schon zu über 100 Übernahmen gekommen sein. Außerhalb Russlands verwenden Cyberkriminelle das Verfahren schon länger.
Nach der Übernahme verliert der Eigentümer jeglichen Zugriff
Für eine Übernahme versuchen die Hacker, beim Telefonanbieter die Zugangsdaten per Bruteforce-Angriff zu erhalten. Nach dem Login und der Eingabe einiger privater Details, die die Hacker aus dem Internet beziehen, können sie einen QR-Code generieren, um die Handynummer der eSIM-Karte ihrem Smartphone zuzuordnen.
Danach hat der wahre Eigentümer der Nummer allerdings keinerlei Zugriff mehr auf seine Daten. Anschließend können laut dem Betrugs- und Sicherheitsexperten Dudkow Unbekannte auf alle Dienste zugreifen, die mit einer entsprechenden Zwei-Faktor-Authentifizierung geschützt sind. Möglich wären beispielsweise auch Zugriffe auf das Bankkonto oder die Kreditkarte des Opfers.
Opfer müssen in der Regel nicht für Schäden haften
Bei diesem hochgradig professionellen und rein technischen Angriff kann einem die Bank zumindest keine Fahrlässigkeit vorwerfen. In der Folge muss man als Kunde zumeist auch keine Schadenersatzansprüche von der Bank oder dem Kreditkarteninstitut befürchten, sollte es zu ungewollten Abbuchungen kommen.
Fahrlässig handelt grundsätzlich nur, wer die im Verkehr übliche Sorgfaltspflicht verletzt. Das wäre beispielsweise gegeben, wenn man Sicherheitsmerkmale (Login Details etc.) für Dritte offen aufbewahrt, womit Unbefugte auf Dein Konto zugreifen könnten. Doch bei derart ausgeklügelten Methoden wie dem eSIM-Karten-Hack hat der Kunde keine Schuld und muss deswegen auch nicht für den Schaden aufkommen.