Europol hat zwei Gruppen von Kriminellen ausgehoben, die mit der sogenannten SIM-Swapping-Methode die Bankkonten von Kunden, die noch auf das mTAN-Verfahren setzten, in Österreich und Spanien geleert haben.
Anzeige
Betrug beim mTANs durch SIM-Swapping
Online-Banking ist bequem und die Banken drängen die Kunden (über die Gebührenmodelle) dazu, diese Methode zu verwenden. Zur Absicherung von Transaktionen verwenden manche Bankkunden noch sogenannte mTANs. Das sind Transaktionsnummern (TANs), die per SMS auf ein Smartphone geschickt werden.
Mittels dieser TAN kann dann eine Transaktion (z.B. Überweisung) auf einem zweiten Rechner autorisiert und damit freigeschaltet werden. Durch diese, sogenannte Zwei-Faktor-Authentifizierung, sollte eigentlich Missbrauch ausgeschlossen sein. Selbst wenn der Computer von Schadprogrammen befallen ist, müssten die Kriminellen ja das Handy des Opfers haben, um Zahlungen per mTAN freizugeben.
Ich hatte aber bereits 2017 im Blog-Beitrag Online-Banking: Finger weg von mTANs – Konten gehackt sowie im Beitrag Online-Banking: mTAN und Banking-Apps unsicher aus dem Jahr 2015 vor diesem Ansatz gewarnt. In diesen Artikeln war es Kriminellen gelungen, die SMS mit den mTANs auf eigene Handys umzuleiten.
Beim SIM-Swapping wird diese Methode gezielt genutzt: Die Betrüger geben sich gegenüber dem Provider als Besitzer einer Rufnummer aus. Diese wurde möglicherweise durch infizierte Smartphones an die Betrüger gemeldet. Die Kriminellen geben gegenüber dem Mobilfunkbetreiber an, die Rufnummer auf eine andere SIM-Karte übertragen zu wollen. Oder es wird eine kaputte SIM-Karte reklamiert und Ersatz gefordert. Gelingt dies, bekommen die Kriminellen eine neue SIM-Karte mit der Rufnummer zugeschickt. Kennen diese noch die Zugangsdaten für ein Bankkonto, können sie Überweisungen tätigen.
Anzeige
Konten per SIM-Swapping abgeräumt
Europol konnte jetzt eine aus 14 Personen bestehende Bande ausheben, die über die oben skizzierte SIM-Swapping-Methode in Österreich wohl Dutzende Kunden beim Online-Banking geprellt und deren Konten leer geräumt haben. Laut diesem Artikel wurden von Europol zwei Ermittlungenverfahren in Sachen SIM-Swapping-Betrug durchgeführt. In Folge konnten zwei kriminellen SIM-Swapping-Gruppen in Zusammenarbeit mit lokalen Strafverfolgungsbehörden aus Spanien, Österreich und Rumänien, ausgehoben und die Mitglieder verhaftet werden.
Ermittlungen in Spanien
Laut der Europol-Pressemitteilung haben Ermittler der spanischen Nationalpolizei (Policía Nacional) im Januar gemeinsam mit der Guardia Civil und Europol Verdächtige in ganz Spanien ins Visier genommen. Von den Verdächtigungen wurde vermutet, dass sie Teil eines Hacker-Rings sind, der in einer Reihe von SIM-Swapping-Angriffen über 3 Millionen Euro gestohlen hat. Inzwischen wurden 12 Personen in Benidorm (5), Granada (6) und Valladolid (1) verhaftet.
Diese kriminelle Bande, die sich aus Staatsangehörigen im Alter von 22-52 Jahren aus Italien, Rumänien, Kolumbien und Spanien zusammensetzt, schlug über 100 Mal zu und stahl pro Angriff zwischen 6.000 und 137.000 Euro von Bankkonten ahnungsloser Opfer.
Der Modus Operandi war einfach, aber effektiv. Die Kriminellen schafften es, die Online-Bankdaten der Opfer der verschiedenen Banken mit Hilfe von Hacking-Techniken wie dem Einsatz von Bank-Trojanern oder anderen Arten von Malware zu erhalten. Sobald sie über diese Zugangsdaten verfügten, beantragten die Verdächtigen ein Duplikat der SIM-Karten der Opfer und stellten den Mobilfunkanbietern gefälschte Dokumente zur Verfügung. Mit diesen Duplikaten in ihrem Besitz bekamen sie die mTANs für Transaktionen direkt auf ihre Telefone. Damit konnten sie von den Online-Konten der Opfer Überweisungen bestätigen. Die Überweisungen wurden auf Konten von Komplizen, sogenannter 'Maultiere', überwiesen. Diese hoben die Beträge ab, um die Spuren der Gruppe zu verwischen.
Die Operationen wurden in einer sehr kurzen Zeitspanne – zwischen einer oder zwei Stunden – durchgeführt. Wenn das Opfer feststellte, dass seine Telefonnummer nicht mehr funktionierte, war das Konto bereits geplündert.
Betrug in Österreich
Auch in Österreich war eine solche Gruppe mit SIM-Swapping aktiv. Eine achtmonatige Untersuchung zwischen der rumänischen Nationalpolizei (Poliția Română) und dem österreichischen Bundeskriminalamt mit Unterstützung von Europol hat zur Verhaftung von 14 Mitgliedern einer Verbrecherbande geführt, die Bankkonten in Österreich über die SIM-Swapping-Methode geleert haben.
Die Diebstähle, bei denen in Österreich Dutzende von Opfern zu beklagen waren, wurden von der Bande im Frühjahr 2019 in einer Reihe von SIM-Swapping-Angriffen verübt.
Nachdem die Bande die Kontrolle über die Telefonnummer eines Opfers erlangt hatte, loggte sie sich mit den gestohlenen Bankdaten in eine mobile Bankanwendung ein, um eine Abhebung zu veranlassen, die dann mit einem von der Bank per SMS zugesandten Einmalpasswort validiert wurde, mit dem sie an kartenlosen Geldautomaten Geld abheben konnten.
Es wird geschätzt, dass es dieser Bande gelang, auf diese Weise über eine halbe Million Euro von ahnungslosen Bankkontoinhabern zu stehlen. Die Verdächtigen wurden Anfang Februar in Rumänien mit gleichzeitigem Haftbefehl in ihren Häusern in Bukarest (1), Constanta (5), Mures (6), Braila (1) und Sibiu (1) festgenommen. Ein deutschsprachiger Beitrag zu diesem Fall findet sich auch hier.
Beide Fälle wurden wegen der anspruchsvollen, grenzüberschreitenden Ermittlungsmaßnahmen an das Europäische Zentrum für Internetkriminalität (EC3) von Europol weitergeleitet. Dessen engagierte Spezialistenteams halfen den nationalen Behörden, ein aktuelles nachrichtendienstliches Bild der verschiedenen kriminellen Gruppen zu erstellen, was die Entwicklung einer gemeinsamen Strategie zur Bekämpfung der Kriminellen erleichterte.
"Betrüger erfinden immer wieder neue Wege, um Geld von den Konten ahnungsloser Opfer zu stehlen. Obwohl es scheinbar harmlos ist, beraubt der SIM-Tausch die Opfer nicht nur ihres Telefons: SIM-Hochstapler können Ihr Bankkonto innerhalb weniger Stunden leeren. Die Strafverfolgungsbehörden stellen sich auf diese Bedrohung ein, wobei europaweit koordinierte Aktionen stattfinden", sagte Fernando Ruiz, amtierender Leiter des Europäischen Zentrums für Internetkriminalität von Europol.
Anzeige