Ein SIM Swap erfordert weder das Knacken einer Verschlüsselung noch einen direkten Angriff auf eine Wallet. Stattdessen missbraucht der Angreifer den Kundenservice eines Mobilfunkanbieters: Mit gestohlenen persönlichen Daten, einem bestochenen Insider oder einem überzeugenden Telefonanruf wird ein Support-Mitarbeiter dazu gebracht, die Nummer des Opfers auf eine vom Angreifer kontrollierte SIM-Karte zu übertragen. Ab diesem Moment verstummt das Telefon des Opfers, während das Gerät des Angreifers jeden Anruf und jede Nachricht empfängt, die für das Opfer bestimmt war.
Die Methode wurde zu einem beliebten Weg an Krypto-Guthaben, weil viele Exchanges und Wallet-Dienste SMS lange Zeit als Option für das Zurücksetzen von Passwörtern oder die Login-Verifizierung anboten. Ein Angreifer, der die Nummer kontrolliert, kann bei einem Exchange-Konto einen Passwort-Reset anfordern, den Einmalcode abfangen und Guthaben innerhalb von Minuten leerräumen, oft nachdem er das Ziel zuvor über geleakte Datenbanken oder Phishing ausgekundschaftet hat, um herauszufinden, welche Plattformen genutzt werden. Aufsehenerregende Diebstähle, darunter eine Klage gegen einen großen US-Mobilfunkanbieter wegen eines Krypto-Verlusts von 24 Millionen Dollar, brachten Regulierungsbehörden zum Handeln: Seit 2024 müssen US-Anbieter Kunden mit stärkerer Authentifizierung verifizieren, bevor ein SIM-Wechsel oder eine Rufnummernportierung durchgeführt wird, eine Kontosperre anbieten und Kunden sofort benachrichtigen, sobald eine Änderung erfolgt.
Die wichtigsten Schutzmaßnahmen für Krypto-Nutzer sind:
- SMS-basierte 2FA durch eine Authenticator-App oder einen Hardware-Security-Key ersetzen
- Eine Port-out-PIN oder Kontosperre direkt beim Mobilfunkanbieter einrichten
- Wo möglich vermeiden, eine Telefonnummer mit der Kontowiederherstellung einer Exchange zu verknüpfen
Da die Sicherheit auf Anbieterseite weiterhin stark variiert, bleibt es am sichersten, eine Telefonnummer als schwaches Glied zu betrachten statt als vertrauenswürdigen Identitätsfaktor.