eSIM-Hack ermöglicht Übernahme fremder Konten
Bildquelle: Andrey Metelev, Lizenz

eSIM-Hack ermöglicht Übernahme fremder Konten

Seit einigen Monaten nutzen Hacker die eSIM-Technik, um Zugriff auf Bankkonten und Kreditkarten der betroffenen Opfer zu erhalten.

Die Abkürzung eSIM steht für embedded Subscriber-Identity-Module. Der neuartige Chip befindet sich in modernen Smartphones und übernimmt bei Bedarf die Funktion der haptisch vorhandenen SIM-Karten, die man austauschen kann. Pro SIM-Karte gab es nur eine zugehörige Telefonnummer. Wer diese früher ändern wollte, musste die SIM-Karte am Gerät austauschen. Zwar kann man die Daten der eSIM nicht ohne weiteres später kopieren oder auslesen. Doch verbaute Hardwaremodule gelten generell als deutlich sicherer als Softwarelösungen.

eSIM-Swapping betrifft auch Konten, die mit 2FA geschützt sind

Dmitry Dudkov von der russischen IT-Sicherheitsfirma F.A.C.C.T. berichtet von einem Szenario, welches aber schon seit einigen Monaten von Cyberkriminellen ausgenutzt wird. Um den Zugriff auf eine Handynummer zu erlangen, verwenden Eindringlinge die Funktion zum Ersetzen oder Wiederherstellen einer digitalen SIM-Karte. Das heißt sie übertragen das Telefon mit eSIM von einem fremden Smartphone auf ihr eigenes Gerät. Ohne eSIM-fähiges Smartphone funktioniert das Ganze natürlich nicht. Bei russischen Finanzinstituten soll es mit Ausnutzung dieser Methode schon zu über 100 Übernahmen gekommen sein. Außerhalb Russlands verwenden Cyberkriminelle das Verfahren schon länger.

Nach der Übernahme verliert der Eigentümer jeglichen Zugriff

eSIM

Für eine Übernahme versuchen die Hacker, beim Telefonanbieter die Zugangsdaten per Bruteforce-Angriff zu erhalten. Nach dem Login und der Eingabe einiger privater Details, die die Hacker aus dem Internet beziehen, können sie einen QR-Code generieren, um die Handynummer der eSIM-Karte ihrem Smartphone zuzuordnen.

Danach hat der wahre Eigentümer der Nummer allerdings keinerlei Zugriff mehr auf seine Daten. Anschließend können laut dem Betrugs- und Sicherheitsexperten Dudkow Unbekannte auf alle Dienste zugreifen, die mit einer entsprechenden Zwei-Faktor-Authentifizierung geschützt sind. Möglich wären beispielsweise auch Zugriffe auf das Bankkonto oder die Kreditkarte des Opfers.

Opfer müssen in der Regel nicht für Schäden haften

Bei diesem hochgradig professionellen und rein technischen Angriff kann einem die Bank zumindest keine Fahrlässigkeit vorwerfen. In der Folge muss man als Kunde zumeist auch keine Schadenersatzansprüche von der Bank oder dem Kreditkarteninstitut befürchten, sollte es zu ungewollten Abbuchungen kommen.

Prepaid-SIM-Karten
Foto von Kim Baron, thx! (CC BY 2.0 DEED)

Fahrlässig handelt grundsätzlich nur, wer die im Verkehr übliche Sorgfaltspflicht verletzt. Das wäre beispielsweise gegeben, wenn man Sicherheitsmerkmale (Login Details etc.) für Dritte offen aufbewahrt, womit Unbefugte auf Dein Konto zugreifen könnten. Doch bei derart ausgeklügelten Methoden wie dem eSIM-Karten-Hack hat der Kunde keine Schuld und muss deswegen auch nicht für den Schaden aufkommen.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.