Spaniens Nationale Polizeibehörde, die Policía Nacional, gab letzte Woche bekannt, dass sie eine ungenannte cyberkriminelle Organisation ausgehoben und acht Personen in Verbindung mit einer Reihe von SIM-Swapping-Angriffen verhaftet hat, die mit dem Ziel des Finanzbetrugs durchgeführt wurden.
Die Verdächtigen des Verbrecherrings gaben sich als vertrauenswürdige Vertreter/innen von Banken und anderen Organisationen aus und nutzten herkömmliche Phishing- und Smishing-Techniken, um an persönliche Informationen und Bankdaten der Opfer zu gelangen, bevor sie Geld von deren Konten abhoben.
„Sie machten sich die Identität ihrer Opfer zu eigen, indem sie offizielle Dokumente fälschten und Angestellte von Telefongeschäften dazu brachten, sich ein Duplikat von SIM-Karten zu besorgen, auf denen sie Sicherheitsbestätigungen von Banken erhielten, mit denen sie die Konten ihrer Opfer leeren konnten“, so die Behörden.
Sieben der Verhaftungen erfolgten in Barcelona und eine in Sevilla. Nicht weniger als 12 Bankkonten wurden im Rahmen der illegalen Operation eingefroren. Der erste bekannte Fall von Betrug, der der Bande zugeschrieben wird, soll sich im März 2021 ereignet haben.
SIM-Swapping, auch SIM-Hijacking genannt, ist eine bösartige Technik, bei der kriminelle Akteure auf Mobilfunkanbieter abzielen, um Zugang zu den Bankkonten der Opfer, zu Konten für virtuelle Währungen und zu anderen sensiblen Informationen zu erhalten. Der SIM-Tausch wird oft durch Social Engineering, Insider-Bedrohungen oder Phishing-Techniken erleichtert.
Dabei gibt sich ein Angreifer als ein Opfer aus und bringt den Mobilfunkanbieter dazu, die Handynummer des Opfers auf eine von ihm kontrollierte SIM-Karte zu übertragen. Alternativ kann dies auch durch Bestechung eines Mitarbeiters des Mobilfunkanbieters oder durch das Herunterladen von Schadsoftware erreicht werden, die zum Einbruch in Systeme und zur Durchführung des SIM-Wechsels verwendet wird.
Sobald die Telefonnummern portiert sind, nutzen Bedrohungsakteure die „Identität“, um Konten zurückzusetzen, SMS-basierte Zwei-Faktor-Authentifizierungen zu umgehen und die Kontrolle über die Online-Konten der Zielperson zu übernehmen.
Ein Anstieg bei SIM-Swapping-Betrug
Im Laufe der Jahre hat sich das SIM-Swapping zu einer immer häufigeren Form der Cyberkriminalität entwickelt, bei der Millionen von Dollar aus den Kryptowährungsbörsen und Bankkonten der Opfer gestohlen werden. Im November 2021 erhob die US-Staatsanwaltschaft Anklage gegen einen britischen Staatsbürger, weil er einen SIM-Swapping-Angriff inszeniert hatte, um Kryptowährungen im Wert von 784.000 Dollar zu erbeuten.
Im Dezember 2021 wurde ein sechstes Mitglied einer internationalen Hackergruppe namens The Community im Zusammenhang mit einer millionenschweren SIM-Swapping-Verschwörung verurteilt.
Die Verhaftungen kommen zu einem Zeitpunkt, an dem das U.S. Federal Bureau of Investigation (FBI) mitteilte, dass es von Januar bis Dezember 2021 1.611 Beschwerden über SIM-Swapping erhalten hat, die zu einem bereinigten Verlust von mehr als 68 Millionen Dollar führten. Im Vergleich dazu erhielt die Behörde von 2018 bis 2020 320 Beschwerden im Zusammenhang mit SIM-Swapping-Vorfällen mit einem bereinigten Schaden von etwa 12 Millionen US-Dollar.