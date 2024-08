Am Samstagmorgen ging alles ganz schnell. Plötzlich hat das Handy von Tina Herrera keinen Empfang mehr, sie kann weder telefonieren noch ins Internet. Von ihrem Anbieter erfährt sie, dass ihr Vertrag gekündigt und ihre Nummer zu einem neuen Anbieter transferiert wurde. Schlimmer noch: Als Herrera ihr Bankkonto checkt, sieht sie, dass jemand 1.200 Dollar an eine unbekannte Person überwiesen hat. Hacker haben die Kontrolle über ihre SIM-Karte übernommen und ihre Identität gestohlen.

Was Herrera erlebt hat, ist kein Einzelfall. Wie leicht es für Hacker ist, fremde SIM-Karten zu übernehmen, zeigt momentan der Fall von T-Mobile in den USA. Im vergangenen Jahr ist es Hackern gelungen, eine eklatante Sicherheitslücke auf der Website von T-Mobile auszunutzen und Kundendaten zu stehlen. Dieser Bug war in kriminellen Kreisen so gut bekannt, dass es sogar ein Tutorial auf YouTube gibt, das beschreibt, wie man die Schwachstelle ausnutzen kann.

Zwar konnten Hacker durch die Sicherheitslücke keine Passwörter oder Kreditkartendaten abgreifen, allerdings sehr wohl andere sensible Daten stehlen: E-Mail-Adressen, Kundennummern und IMSI-Nummern, eine Nummer zur eindeutigen Identifizierung von Handynutzern. Um an diese Daten zu kommen, mussten die Hacker nur die Telefonnummer eines Kunden eingeben – oder erraten.

Mit den gestohlenen persönlichen Informationen konnten die Hacker nun beim Kundenservice von T-Mobile anrufen und die Telefonnummern ihrer Opfer übernehmen. Der Vorgang ist erschreckend einfach: Ein Hacker ruft den Kundenservice an, gibt sich für den Kunden aus und bestellt eine neue SIM-Karte. Wenn die neue SIM-Karte ankommt, muss der Hacker sie nur noch aktiveren und hat die Kontrolle über den Account seines Opfers. Alternativ können Hacker den Vertrag ihres Opfers kündigen und die SIM-Karte zu einem neuen Anbieter mitnehmen.

Die Kontrolle über eine Handynummer ist für Hacker sehr wertvoll, denn bei vielen Online-Diensten gibt es die Option, eine Handynummer anzugeben, um Passwörter wiederherzustellen, wenn man sie einmal vergessen hat. Wenn Angreifer also die Kontrolle über eine Telefonnummer haben, können sie damit häufig auch auf Bankkonten, E-Mail-Konten und Social-Media-Accounts ihrer Opfer zugreifen.

All das sind keine theoretischen Szenarien. Tatsächlich müssen wir davon ausgehen, dass hunderte T-Mobile-Kunden Opfer von Sim-Hijacking geworden sind. Seit unsere US-amerikanischen Kollegen T-Mobile im vergangenen Herbst mit der Sicherheitslücke konfrontiert hatten, haben sich etwa zwei Dutzend T-Mobile-Kunden bei ihnen gemeldet, die Opfer dieser Betrugsmasche geworden sind. Um zu zeigen, wie viel materiellen und emotionalen Schaden der SIM-Karten-Diebstahl anrichten kann, veröffentlichen wir hier einige dieser Geschichten. Zur besseren Lesbarkeit wurden die Berichte gekürzt.

Tina Herrera

Mir ist das letztes Wochenende passiert. Am Samstag hatte ich keine Verbindung mehr und dachte erst, dass es an meinem iPhone liegt, das öfter Probleme macht. Am Sonntagmorgen erhielt mein Mann dann eine SMS von T-Mobile, in der stand, dass eine Nummer aus unserem Vertrag gekündigt worden war; gemeint war meine Nummer. Daraufhin stellte ich fest, dass jemand 1.200 Dollar von meinem Bankkonto an eine Person geschickt hatte, die denselben Nachnamen hat wie ich.

Inzwischen habe ich meine Handynummer wieder und soll in den nächsten Tagen auch das Geld rückerstattet bekommen. T-Mobile hat so getan, als ob sie sich gar nicht vorstellen könnten, wie das passieren konnte, obwohl es in den letzten sechs Monate genug Beweise für die Hacks gab.

Fanis Poulinakis

Ich war in einem Albtraum gefangen.

Mein Handy funktionierte plötzlich nicht mehr. Also habe ich versucht, T-Mobile über Twitter zu kontaktieren. Nach einer Stunde teilten sie mir mit, dass jemand meine Nummer zu einem anderen Anbieter transferiert hatte. Sie rieten mir, meine Bank darüber zu informieren.

Ich habe mich sofort beim Online-Banking eingeloggt, aber da waren auch schon 2.000 Dollar weg. Ich bin den ganzen Tag zwischen T-Mobile und meiner Bank hin und her gerannt, um nachzuvollziehen, was überhaupt passiert ist. Ein totaler Albtraum.

Es ist unglaublich. Ich finde es fahrlässig von T-Mobile, dass man sich kein gesondertes Passwort für seine Telefonnummer zulegen muss. Mir wurde jetzt zum ersten Mal bewusst, wie gefährdet unsere Informationen sind.

Anonymes Opfer 1

Auch ich bin von dem Hack betroffen. Ich habe versucht, die Sache mit T-Mobile zu klären – ohne Erfolg. Gestern bin ich mit meinem Ausweis in den T-Mobile-Laden gegangen, um meine Identität nachzuweisen, aber der Hacker hatte bereits mein T-Mobile-Konto gesperrt. Da ich nicht der Inhaber des Accounts bin, sondern nur ein autorisierter Nutzer, geben sie mir keine Informationen.

Der Dieb hat sich seit Sonntag mindestens dreimal in mein E-Mail-Konto eingeloggt, da er die Zwei-Faktor-Authentifizierung über ein anderes Gerät mit meiner Telefonnummer durchführt. Der Dieb hat auch erfolgreich eine Ersatz-Kreditkarte für mein Konto angefordert.

Thomas Ciccarelli

Ich wurde heute mehrfach gehackt.

Heute Morgen rief mich der Kundenservice an, weil jemand auf meine SIM-Karte zugreifen wollte. Ich sagte ihnen, dass sie mein Konto sperren und nichts unternehmen sollten, solange ich nicht persönlich vor ihnen im Laden stünde. Vier Stunden später konnte mein Handy nicht mehr aufs Netzwerk zugreifen. Da wusste ich, dass der Hacker es geschafft hatte.

Der Hacker hat sich als Mitarbeiter von T-Mobile ausgegeben und kam so an meine SIM. Kurz darauf erhielt ich Mitteilungen von allen meinen E-Mail-Konten, dass meine Passwörter geändert worden waren. Ich brauchte etwa eine Stunde, um wieder die Kontrolle über meine Konten zu erhalten. Ich bin jetzt panisch. Ich weiß nicht genau, welche Daten sie ziehen konnten und ich finde es unverantwortlich, dass T-Mobile meine Daten herausgegeben hat, nachdem ich mein Konto gesperrt hatte. Ich weiß nicht, an wen ich mich wenden soll. Ich beobachte permanent meine E-Mail- und Bankkonten und warte auf die große Katastrophe.

Barry W.

Mir ist das im November passiert. Sie haben meine Nummer zu einem anderen Anbieter transferiert und außerdem eines meiner Kreditkartenkonten gehijackt und eine neue Kreditkarte beantragt. Für die neue Karte wurde ihnen ein Limit von 20.000 Dollar gewährt und sie sind sofort mit Google Pay auf Shopping-Tour gegangen. Zum Glück wurden alle Abbuchungen abgelehnt. Ich war sehr enttäuscht, wie wenig T-Mobile seine Kunden schützt.

Heather Thomas

Mir ist das gleiche vor zwei Wochen passiert. Ich habe eine SMS erhalten, die so aussah, als ob sie von T-Mobile stammte. Mein Mann hatte am Tag zuvor ein neues Handy gekauft und in der SMS stand, dass man auf einen Link klicken solle, um den neuen Vertrag zu aktivieren. Als ich auf den Link klickte, funktionierte mein Handy nicht mehr. Etwa zwanzig Minuten später erhielt ich eine E-Mail von meiner Bank, in der sie zwei Überweisungen von meinem Konto über je 2.000 Dollar bestätigten.

Ich rief sofort meine Bank an, um die Überweisungen zu stoppen, aber es war schon zu spät. Inzwischen sind zwei Wochen vergangen und ich warte immer noch darauf, mein Geld zurück zu bekommen.

Meghan Clifford

Ich habe insgesamt 5.200 Dollar verloren, die von verschiedenen Konten abgebucht wurden. Meine Telefonnummer habe ich immer noch nicht zurück. Ich habe unzählige Stunden damit verbracht, meine Bankkonten zu sperren und wieder freizuschalten, den Polizeibericht auszufüllen und mich mit Banken, Kreditinstituten und T-Mobile rumzuschlagen. Da mein Konto zwei Wochen lang eingefroren war, muss ich außerdem Überziehungszinsen für meine Kreditkarte zahlen.

Die Krönung war jedoch, dass T-Mobile mir eine Rechnung schickte, weil ich meinen Vertrag gekündigt und meine Nummer mitgenommen hatte. Wollt ihr mich verarschen?!?!

Anonymes Opfer 2

Meine T-Mobile-Nummer wurde gestern gehijackt. Das Ergebnis: Innerhalb von zwei Tagen wurden 4.000 Dollar von meinen Konto bei der Chase Bank gestohlen. Beide Unternehmen haben schnell reagiert und mir geholfen, die Situation zu regeln.

Anonymes Opfer 3

Am Samstagnachmittag erhielt ich folgende Textnachricht: “Willkommen bei Simple Mobile. Ihre neue Telefonnummer lautet [xxx].” Bevor ich der Sache nachgehen konnte, hatte mein Handy keinen Empfang mehr. Meine SIM-Karte war nicht mehr für das Netzwerk autorisiert. Ich bin sofort zu dem T-Mobile-Laden in meiner Straße gerannt, habe ihnen die Nachricht gezeigt und erklärt, dass ich keine Portierung meiner Nummer autorisiert hätte. Im System konnte die Mitarbeiterin dann sehen, dass mein Vertrag gekündigt worden war, weil jemand meine Nummer zu einem anderen Anbieter transferiert hatte.

Nach 45 Minuten in der Service-Hotline gelang es uns schließlich, meine Nummer zu T-Mobile zurück zu holen. Als ich mein Handy neu startete, warteten viele Nachrichten auf mich, einige von meiner Bank. Da erklärte mir die T-Mobile-Mitarbeiterin, dass meine Zahlungsinformationen wahrscheinlich für die Hacker sichtbar wurden, als meine Nummer transferiert wurde, da ich (a) automatische Zahlungen aktiviert habe und (b) Simple Mobile und T-Mobile zusammengehören.

Während ich keine Kontrolle über meine Nummer hatte, ließ der Hacker das Passwort für mein Bankkonto zurücksetzen. Dazu brauchten sie nur meine Kontonummer und meine Telefonnummer für die Zwei-Faktor-Authentifizierung. Nachdem sie mein Passwort geändert hatten, schickten sie 2.000 Dollar per Direktzahlung an eine Person, die denselben Nachnamen hat wie ich. Ich weiß nicht, ob das Zufall oder Teil der Masche ist. Ich rief meine Bank sofort an und ließ alles sperren. Von dem Moment, als meine Nummer “gestohlen” wurde, bis zur Abbuchung des Geldes vergingen gerade mal 18 Minuten.

Inzwischen habe ich zwar meine Nummer zurück, konnte aber das ganze Wochenende nicht auf mein Geld zugreifen.