Es wirkte, als sei der Exzentriker Jack Dorsey endgültig durchgeknallt. Rund 20 Minuten lang verschickte der Twitter-Account des Twitter-Chefs am späten Freitagnachmittag plötzlich höchst eigenartige Nachrichten: Nazi-Deutschland wurde verherrlicht, von einer angeblichen Bombe in der Twitter-Zentrale war die Rede. Neben den Tweets prangte wie gewohnt das Gesicht von Dorsey im Profilbild, doch die Botschaften, die der Account an mehr als vier Millionen Follower verschickte, hatte jemand anders abgeschickt. Später erklärte Twitter: Die Angreifer hatten die Telefonnummer des Chefs "kompromittiert". So konnten sie die Tweets über die mit Dorseys Account verbundene Telefonnummer absetzen. Verantwortlich für den Hack sei "ein Sicherheitsfehler beim Mobilfunkprovider".
Das klingt stark nach einer Angriffsmethode namens Sim-Swapping, mit der Telefonnummern praktisch zu Waffen gemacht werden. Damit wäre der Twitter-Chef Opfer eines Tricks geworden, der unter Kriminellen in den vergangenen Monaten immer beliebter wird. Er erfordert wenig technische Fähigkeiten. Zwar lässt sich ohne weitere detaillierte Angaben zum Angriff durch Twitter nicht ausschließen, dass Dorseys Account nicht doch über eine andere Methode angegriffen wurde, doch alle bekannten Informationen deuten auf Sim-Swapping hin. Auch mehrere amerikanische Influencer, deren Telefonnummern gehackt worden waren, beschuldigten AT&T, nicht genug für den Schutz der Nummern zu tun.
Ein Angreifer kann die Telefonnummer seines Opfers übernehmen, indem er den Mobilfunkprovider überzeugt, die Nummer auf eine eigene, neue Sim-Karte zu übertragen. Diese Überzeugungsarbeit kann einfacher sein, als viele Kunden erwarten würden. Denn ein Angreifer müssen lediglich bei den Hotlines der Mobilfunkunternehmen anrufen und sich erfolgreich als sein eigenes Opfer ausgeben.
Ein bisschen Spionage gegen die Opfer reicht
Um die Mitarbeiter der Mobilfunkunternehmen zu überzeugen, reicht es oft, dass die Hacker zuvor einige Informationen über ihr Opfer in Erfahrung gebracht haben: Neben der Telefonnummer können dies persönliche Daten wie beispielsweise die Kontodaten, der Wohnsitz oder das Geburtsdatum sein.
Doch solche Daten sind für Kriminelle heute leider oft recht leicht und günstig zu besorgen: Kriminelle können entweder versuchen diese über soziale Netzwerke oder andere Tricks abzugreifen oder sie in speziellen Foren kaufen, wo regelmäßig Datensätze mit solchen Informationen gehandelt werden. Nun müssen die Kriminellen den Kunden-Support nur noch bitten, eine reguläre Funktion auszuführen, die jedem Handykunden zur Verfügung steht: Die Telefonnummer für eine neue Sim-Karte zu aktivieren. Diese sogenannte Portierung ist eigentlich für Kunden vorgesehen, die ihr Handy verloren haben oder aus anderen Gründen eine neue Sim-Karte benötigen. Doch Sim-Swapper machen sie sich für ihren Angriff zunutze und können so die vollständige Kontrolle über eine Telefonnummer übernehmen. Die Folge: Das Opfer bekommt keine Anrufe und Text-Nachrichten mehr auf seine Handynummer. Diese werden jetzt alle auf die neu aktivierte Sim-Karte weitergeleitet. So bekommen die Angreifer jetzt auch all jene SMS weitergeleitet, die eigentlich sensible persönliche Accounts wie E-Mail-Adressen oder Bankkonten eines Opfers schützen sollten. Solche Accounts lassen sich nämlich mit der sogenannten Zwei-Faktor-Authentifizierung auch noch neben einem Passwort mit einem jedes Mal neu versendeten Code schützen, der per SMS versendet wird.
Angreifer könnten so mit nur einer SMS versuchen, eigentlich gut vor Hackern geschützte Accounts zu übernehmen, wenn es ihnen auch gelingt das Passwort zu knacken. Außerdem können Angreifer auch selbst von der übernommenen Telefonnummer Nachrichten versenden. Genau diese Möglichkeit hatten sich die Angreifer jetzt offenbar bei der Attacke auf den Twitter-Chef zunutze gemacht. Tweets lassen sich bei Twitter nämlich nicht nur in der App oder am Laptop absenden, sondern auch per SMS an eine feste Nummer. Twitter postet die SMS-Nachrichten dann einfach auf dem mit der Handynummer verbundenen Account. Die Funktion ist ein Relikt aus der Anfangszeit von Twitter, kaum ein Nutzer dürfte heute überhaupt noch wissen, dass es die Funktion gibt.
Kriminelle tauschen sich in Foren aus
Deutsche Opfer sind bisher nicht bekannt, doch aus technischer Sicht gibt es nur wenige Gründe, warum das Problem nur auf die USA beschränkt sein sollte. Nutzer in Deutschland können sich einfach schützen: Sie sollten bei Ihrem Handyanbieter einen persönlichen Pin-Code für den Kunden-Support einrichten und hierzu einen sicheren Code wählen (also nicht "1234"). Wenn ein Anrufer den PIN nicht angibt, bieten Hotline-Mitarbeiter ihnen dann keine Einblicke oder Änderungsmöglichkeiten zu einer Telefonnummer mehr. O₂ und Vodafone zwingen ihre Kunden schon, solche Pins zur Absicherung einzurichten.
In Foren tauschen sich Sim-Swapper aus und verabreden sich, um zuzuschlagen. Ihre Opfer sind auch nicht-prominente Nutzer, denen sie Bitcoin in Millionenhöhe aus ihren digitalen Geldbörsen stehlen oder deren Social-Media-Accounts sie kapern, um sie auf dem Schwarzmarkt zu verkaufen oder Lösegeld für ein Ende der feindlichen Übernahme fordern.
Da Telefonnummern immer stärker genutzt werden, um Accounts zu schützen, dürfte das Problem in Zukunft öfter auftreten. Die Schwachstelle liegt bei Mobilfunkanbietern wie der T-Mobile oder dem amerikanischen AT&T. Der unbefugte Zugang zu einer Telefonnummer kann schwere Verwerfungen auslösen. Nicht auszudenken, was etwa passieren würde, wenn die Accounts von Politikern wie Donald Trump angegriffen werden und Hacker mit ein paar Tweets einen diplomatischen Eklat verursachen.
