Wie ein Hacking-Opfer seinem Erpresser am Telefon das Herz brach

Jared Goetz isst gerade im Restaurant zu Abend, als er von einem Hacker ausgeraubt wird. Jemand kauft mit seiner Kreditkarte eine Web-Domain für umgerechnet 33.000 Euro. Als er das bemerkt, macht Goetz sich noch keine großen Sorgen, wie er Motherboard später erzählt. Er informiert einfach sein Kreditinstitut, dass er die Transaktion nicht getätigt hat und denkt, das löse sich ganz von allein. Doch dann fangen die Probleme für den US-amerikanischen Business Coach erst richtig an.

Plötzlich funktioniert Goetz' Smartphone nicht mehr, er kann weder telefonieren noch chatten und auch keine Online-Dienste nutzen. Zuerst denkt Goetz, er habe vielleicht seine Rechnung bei T-Mobile nicht bezahlt. Zurück im Hotel entdeckt Goetz, dass jemand das Passwort für seinen Zugang bei T-Mobile geändert hat. Auch in sein E-Mail-Konto kann er sich nicht mehr einloggen.

Nun macht sich Goetz ernsthaft Sorgen. Aufgewühlt läuft er in seinem Hotelzimmer auf und ab. Einige Minuten vergehen, dann klingelt sein Handy. Anscheinend hat es jemand vorübergehend wieder aktiviert. Der Anruf kommt von einer unbekannten Nummer.

"Ich verlange drei Bitcoins", sagt die Stimme am anderen Ende, "dann lasse ich dich in Ruhe." Der Hacker sagt, dass Goetz heute bereits sein drittes Opfer sei. Doch Goetz ist kein gewöhnliches Opfer. Er verwickelt den Hacker in ein Gespräch. Eineinhalb Stunden lang versucht er herauszufinden, warum der Fremde ihn überhaupt erpressen möchte. Letztlich kann er den Hacker tatsächlich dazu bringen, ihm die gestohlenen Konten zurückzugeben. Goetz hat einen Teil des Gesprächs mitgeschnitten, ihr könnt euch Ausschnitte davon hier im Text anhören.

Der Fall von Goetz ist nur ein Beispiel für eine derzeit verbreitete Erpresser-Masche: Hacker übernehmen die Kontrolle über Konten und fordern dann Lösegeld. Oft nehmen Hacker die E-Mail- oder Instagram-Konten von Influencern ins Visier, die mit diesen Kanälen ihren Lebensunterhalt verdienen. Goetz ist Opfer vom sogenannten SIM-Hijacking, bei dem Hacker die Telefonnummer ihrer Opfers übernehmen. Möglich ist diese Methode, sobald ein Anbieter die Daten seiner Nutzerinnen und Nutzer nicht ausreichend schützt.

Der Hacker wirkt am Anfang sehr aggressiv. Im Gespräch sagt er irgendwann, dass er Sebastian heißt. Er sei 17 Jahre alt und komme aus Deutschland, behauptet er. Goetz habe er gezielt angegriffen, weil sein Name in Medienberichten über Kryptowährungen auftaucht. Sebastian hofft, dass Goetz ihm Zugang zu großen Krypto-Summen verschaffen kann.

"Das mache ich nun mal", sagt Sebastian während des Telefonats. "Ich fühle dabei nichts, Buddy, mehr sag' ich dazu nicht."

Sebastian hatte Goetz' SIM-Karte übernommen und alle Nachrichten, mit denen Passwörter zurückgesetzt werden können, auf sein eigenes Gerät umgeleitet. Somit konnte Sebastian auch alle Zwei-Faktor-Authentifizierungen von Goetz' Konten umgehen, die über SMS funktionieren. Mit Goetz' Telefonnummer unter seiner Kontrolle konnte Sebastian im Internet Goetz' Identität übernehmen.

Während des Telefonats erklärt Sebastian nicht im Detail, wie er die Telefonnummer übernommen hat. Aber Recherchen von Motherboard haben gezeigt, dass SIM-Hijacking für Hacker erschreckend einfach sein kann. Die Masche könnte demnach zumindest in den USA so funktionieren: Die Hacker rufen beim Telefonanbieter an und geben sich als ihr Opfer aus. Dafür reichten in einigen Fällen offenbar schon wenige persönliche Informationen, die teilweise auf Social-Media-Profilen zu finden sind. Dann lassen Hacker die Telefonnummer auf ihre eigene SIM-Karte transferieren. In anderen Fällen versuchen Hacker auch, Mitarbeitende von US-Telefonanbietern zu bestechen, wie aus Motherboard-Recherchen hervorgeht.

Bei T-Mobile in den USA, wo auch Goetz Kunde ist, kam es in der Vergangenheit anscheinend mehrfach vor, dass Hacker an Insider-Informationen gelangten. Das bestätigten verschiedene Quellen im Zuge von früheren Recherchen gegenüber Motherboard. Eine Sprecherin von T-Mobile schrieb Motherboard in einer E-Mail: "Wir arbeiten ständig daran, die Sicherheit zu erhöhen, um Betrugsversuchen zuvorzukommen und unsere Kundinnen und Kunden zu schützen."

Während des Telefongesprächs versucht Goetz, mit dem Hacker zu verhandeln. Er erklärt Sebastian, dass er ihm keine Bitcoins schicken wird, dass er auch gar keine besitze. Stattdessen bietet er ihm an, ihm eine kleine Summe Ripple, einer Kryptowährung, zu schicken, oder alternativ etwas Geld über über PayPal zu überweisen. Goetz fragt Sebastian auch, warum er das Geld überhaupt haben möchte. An diesem Punkt scheint Sebastians harte Fassade ein wenig zu bröckeln.

"Weil ich ein paar Dinge gemacht habe, die ich wirklich bereue. Das war vor einem Jahr und ich stecke immer noch fest", antwortet Sebastian. "Vielleicht habe ich mich mit dem falschen Typen angelegt."

Daraufhin erzählt Goetz Sebastian von seinen eigenen Fehlern: wie er als Jugendlicher ein Haus ausraubte, wie er einmal auf 250.000 US-Dollar verklagt wurde. Gegenüber Motherboard sagte Goetz später, dass er bei diesen Schilderungen übertrieben habe, um ein Vertrauensverhältnis mit dem Hacker aufzubauen. Goetz bietet Sebastian sogar ein Darlehen an, dass er zurückzahlen kann, wenn er sein Leben wieder auf die Reihe bekommen hat. Sebastian ist von diesem Angebot ein wenig gerührt, berichtet Goetz. Ganz offensichtlich ist das nicht die Reaktion, die der Hacker bei einem Erpressungsversuch normalerweise bekommt.

"Du bist ein Mensch. Du bist nicht nur ein Scammer", sagt Goetz nach etwa 45 Minuten am Telefon zu Sebastian.

Anfangs wollte Goetz einfach nur die Kontrolle über seine Konten zurückbekommen, erzählt er Motherboard später. Um den Hacker in ein Gespräch zu verwickeln, zeigte er sich verwirrt, warum er dieses Verbrechen überhaupt begehen würde.

"Ich spielte erstmal den netten Typen, den potentiellen Mentor", sagt Goetz. "Aber dann schaltete sich mein Mitgefühl ein und ich wollte ihm tatsächlich helfen."

Schließlich kann Goetz seinen Erpresser Sebastian davon überzeugen, ihm den Zugang zu seinem E-Mail-Konto zurückzugeben – unter der Bedingung, dass sie am nächsten Tag wieder chatten werden. Dann fragt Goetz ihn, ob er nun eine Entschuldigung bekommt.

"Ich bin in sowas nicht gut. Aber mir tut es wirklich leid, wie viel Ärger ich dir gemacht habe. Ich wünschte es wäre nicht so ausgegangen", antwortet Sebastian.

"Ok, das respektiere ich", sagt Goetz.

Auch bei Motherboard: Der 16-Jährige, der den Drive-in von McDonald's hackte

Während des Gesprächs gibt Sebastian Goetz auch seine Google-Voice-Nummer. Als wir die Nummer wählen, klingelt es zwar, aber wir konnten Sebastian für eine Stellungnahme nicht erreichen. Nachdem dieser Artikel auf Englisch bei Motherboard US erschienen ist, haben mehrere Leserinnen und Leser Screenshots von einem Forum eingeschickt, das sich mit SIM-Hijacking beschäftigt. Dort schrieb jemand mit dem Nutzernamen Sebastian "ich bin berühmt, broz" und verlinkte auf den Artikel.

Am Ende des Telefonats sind sowohl Goetz als auch Sebastian völlig ausgelaugt. Bei Goetz ist es ein Uhr morgens, bei Sebastian sieben Uhr, falls er denn tatsächlich aus Deutschland anruft. Die beiden machen aus, dass sie wieder chatten werden. Dieser Chat hat Goetz zufolge inzwischen stattgefunden und Sebastian habe ihm erklärt, wie er Goetz' Konten übernehmen konnte. Einige dieser Textnachrichten liegen Motherboard vor.

"Gute Nacht, Buddy", sagt Sebastian, bevor er auflegt – und es klingt so, als ob der Satz von Herzen kommt.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Dieser Artikel ist zuerst auf der englischsprachigen Seite von Motherboard erschienen.