Am Freitagnachmittag erreichte die Redaktion des WebStandard der Anruf eines Menschen, der von einer recht ungewöhnlichen Kombination aus Schadensfällen berichtete: Es sei zu einem Cyberangriff auf seinen Mobilfunkanbieter A1 gekommen, wodurch SIM-Karten geklont und anschließend Geld von Bankkonten abgebucht worden seien. Auf Anfrage wird der Vorfall seitens A1 bestätigt – und erklärt, mit welch aufwendigem Vorgehen es den Verbrechern gelungen sei, die Zwei-Faktor-Authentifizierung der Banken und Zahlungsdienstleister auszutricksen.

Phishing mit Fake-Website

Demnach haben die Verbrecher zuerst einen Phishing-Versuch erfolgreich durchgeführt, indem sie Websites von Banken und Zahlungsdienstleistern fälschten, auf welchen die Kunden ihre Log-in-Daten eingaben. Auf diesem Weg gelangten die Hacker nicht nur an die Log-in-Daten für die Bankkonten per se, sondern erfuhren auch die Handynummer, die für die Zwei-Faktor-Authentifizierung – also etwa für einmalige TANs via SMS – genutzt wird.

Der Sinn dieser Zwei-Faktor-Authentifizierung ist, dass Verbrecher die Zugangsdaten für das Konto ebenso wie Zugang zum Handy brauchen, um Überweisungen tätigen zu können. Diese Kombination gilt generell als recht sicher. Wie ging es also weiter?

Ummeldung auf E-SIM

Anschließend erbeuteten die Gauner – über Methoden, die dem STANDARD bekannt sind, aus Sicherheitsgründen aber nicht genannt werden – von externen Vertriebspartnern deren Zugangsdaten zum Vertriebssystem von A1. In diesem System können Verträge an- und umgemeldet werden.

Mit dem Zugang zu diesem System haben es die Kriminellen geschafft, die ihnen bekannten Telefonnummern von der ursprünglichen SIM-Karte auf eine E-SIM zu portieren. E-SIMs sind keine physischen Karten mehr, stattdessen wird der Vertrag einfach auf einem Chip im Smartphone aktiviert – unter anderem hat Apple diese Woche verkündet, auf seinen iPhones in den USA nur noch auf E-SIMs zu setzen.

Zur Ummeldung der Telefonnummer auf die E-SIM haben die Gauner sich den dafür nötigen QR-Code an eine eigens eingerichtete Einmal-Mailadresse geschickt. Anschließend aktivierten sie die E-SIM auf ihrem eigenen Handy. Der Kunde merkte zu diesem Zeitpunkt, dass er selbst nicht mehr telefonieren konnte – und später, dass ihm Geld auf dem Konto fehlte, weil die Verbrecher nun die Bank-Log-in-Daten ebenso wie Zugriff auf die Handynummer hatten und somit ungehindert agieren konnten.

Wer betroffen ist und was nun zu tun ist

Seitens A1 heißt es, dass nur eine extrem geringe Anzahl an Kunden betroffen ist; man habe versucht, alle betroffenen Kunden zu erreichen, und arbeite eng mit den ermittelnden Behörden zusammen. Dem STANDARD ist nicht bekannt, welche Finanzinstitute betroffen sind und ob auch Kunden anderer Anbieter Opfer dieser Attacke wurden.

Weiters heißt es seitens A1, dass sich der Vorfall nicht wiederholen kann, da man erstens alle Zugangsdaten für das System geändert habe. Zweitens – und das ist der nachhaltigere Schritt – ist es den externen Partnern nun nicht mehr möglich, in dem System Rufnummern auf eine E-SIM zu portieren.

Die betroffenen Kunden können ihre Nummer wieder zurück auf eine SIM-Karte tauschen – oder bei dieser Gelegenheit gleich auf E-SIM wechseln, falls ihnen dies lieber ist. Empfohlen wird auch, Kontakt mit der eigenen Bank aufzunehmen und dort die Zugangsdaten zu ändern. Generell ein guter Tipp für den Fall, dass man das Gefühl hat, die heiklen Zugangsdaten könnten in die falschen Hände geraten sein. (Stefan Mey, 9.9.2022)