SIM swapping und Vodafone

sollinger · ‎07.01.2021

Dieses Jahr fing genauso schlecht an, wie das alte Jahr geendet hat.

Letztes Wochenende bin ich Opfer eines sogg. Sim-swapping Angriffs geworden.

Montag früh aufgestanden und gewundert warum ich mal wieder kein Netz habe (S10 meldet Sim1 nicht registriert). Kleinen Herzinfarkt bekommen nachdem ich in meinen Mails gelesen hatte (Wlan) das anscheinend jemand mein Paypalkonto-Password verändert hat und lustig einkaufen war. Bei Paypal angerufen (keinen erreicht da vor 09:00 Uhr ).

Also erstmal die 1212.

Das geht aber leider nicht wenn keine Sim aktiv ist.... Nun, Frau wachgemacht und anderes Handy besorgt.

An der 1212 habe ich mein Problem geschildert und wurde darüber aufgeklärt, dass natürlich meine Sim nicht funktioniert, ich hätte ja auch am Vorabend meine neue E-Sim aktiviert.

Ich total ratlos mal nachgefragt warum ich eine E-Sim aktivieren sollte... da kahm Bewegung in die Leitung. "Oh, oh, ich glaube ich weiß was da passiert ist!" hörte ich von der Mitarbeiterin an der 1212.

Kurz gesagt... Irgendjemand hat in meinem Namen mal ebenso eine neue E-Simkarte mit meiner Rufnummer von Vodafone bekommen und damit Schaden angerichtet (Paypal ausgetrickst).

Bei Paypal sagte man mir das dies eine gängige Masche sei die wohl insbesondere und in den letzten Tagen sehr häufig Vodafone Kunden betrifft.

Vodafone (1212) sagte hierzu "Ja, die interne Sicherheit hat das mit Ihrer E-Sim bemerkt und einen Vermerk geschrieben". Ja bitte, super.

Verhindert hat das aber leider keiner und ich habe den Ärger mit der Bank (Kreditkarte), Paypal, Polizei und nicht zuletzt Vodafone.

Auf meine Frage hin, wie es denn dazu kommen kann, dass irgendeine Fremde Person da meine Nummer übernehmen kann hieß es nur: "da müssen Sie wohl Ihr Kundenkennwort weitergegeben haben".

NEIN VERDAMMT! Ich arbeite in der IT Sicherheitsbranche. Kenn- und Passwörter sind mir heilig! Kriegt eure Internen Leaks in Griff und stellt euch eurer Verantwortung auch mal zu sagen "Tut uns Leid, da haben wir *** gebaut!" und wälzt nicht immer alles auf den Kunden ab!

Hochachtungsvoll

bahnrat · ‎07.01.2021

Ist das bei Paypal wirklich so einfach, nur mit der Handynummer das Passwort ändern zu können? In Zukunft solltest Du bei Deinem Paypal-Konto 2FA aktivieren (über Authenticator, nicht über Mobilfunknummer), dann dürfte es nicht mehr möglich sein.

sollinger · ‎07.01.2021

Im Prinzip schon. Die Kontrolle über die Handynummer reicht unter Umständen aus.

Paypal ist eine eigene Geschichte. Das Verfahren habe ich inzwischen angepasst.

Was mich halt mega nervt ist das es ohne den Mist mit der E-Sim garnicht passiert wäre. Da sehe ich, wie bereits geschrieben, Vodafone in der Pflicht.

Und die Aussage zum Thema "wer hat Schuld" geht garnicht.

bahnrat · ‎08.01.2021

Im Internet wird berichtet, wo ich das gelesen habe wiess ich nicht mehr, dass sich manche Hotline-Mitarbeiter erweichen lassen wenn man sagt "Das habe ich gerade nicht zur Hand", dann reicht auch das Geburtsdatum. Das ist bei anderen Anbietern nicht anders. Die Mitarbeiter sollten diesbezüglich geschult werden. Und das System muss so geändert werden, dass alle Angaben (Kennwort, Kundenummer oder Kunden-Kontonummer) angegeben werden müssen und nicht mehr länger optional sind.

Mein Vorschlag:

Der Kunde bekommt einen Bestätigungslink an seine im Kundenkonto hinterlegte Emailadresse (und nur an diese, an keine andere, egal was der Anrufer erzählt von wegen "Ich habe die Emailadresse geändert und komme nicht ins Kundenkonto") und/oder als SMS/MMS aufs Smartphone, nicht jedoch ins Kundenkonto (da dieses auch kompromittiert sein kann). Diesen muss er innerhalb von 2 bis maximal 5 Minuten bestätigen. Tut er das nicht bleibt die alte SIM-Karte aktiv und der Antrag auf neue SIM wird abgelehnt. Das setzt natürlich voraus, dass nicht auch noch sein Emailkonto gehackt wurde und/oder das Smartphone funktioniert. Da Swapping meist nachts stattfindet, wo die meisten in DE schlafen, würden die Links nicht innerhalb der Zeit bestätigt. Einen besseren Schutz gibt es kaum.