SIM SWAP (maximaler Schutz)

Metteunteu61

Ich möchte mich bestmöglich gegen Sim Swap (Mobile) schützen.

Dafür habe ich jetzt auf meiner SIM-Karte einen Pin festgelegt (nicht der Standard-PIN).

Frage: Bietet Swisscom eine Nummernübertragungs-PIN an, welche in Kraft tritt, wenn ein SIM-Wechsel beantragt wird?
Es gibt einige Betreiber, welche diesen Service anbieten.

Eine weitere Alternative wäre diese, dass bei der Beantragung einer neuer SIM diese in Absprache mit Swisscom nur persönlich gegen Vorweisung eines Ausweises persönlich ausgehändigt wird. Wäre dies mit der Swisscom so regelbar?

millernet

Das Thema SIM swapping finde ich eine interessante Fragestellung, welche dir von offizieller Seite in diesem Forum wohl niemand beantworten wird. Swisscom und auch andere Anbieter müssten hier ihre Prozesse anpassen resp. über Schutzmassnahmen Auskunft geben, was vermutlich keiner tun wird.

An deiner Stelle würde ich auf SMS MFA verzichten und auf modernere Verfahren wie Push Tokens inkl. number matching, software / hardware OTP, FIDO2 key oder gleich passkey setzen.

https://learn.microsoft.com/de-de/entra/identity/authentication/concept-authentication-methods

Metteunteu61

Für mich als Laie scheint mir SMS MFA total rückständig bzw. unsicher zu sein.

Daher frage ich mich, ob Swisscom die rasante Entwicklung aus Kostengründen absichtlich verschlafen bzw. den Schutz (Sim Swapping) zu Lasten der Kunden zu wenig ernst genommen hat und so dringend Optimierungsprozesse nötig sind.

Auf der anderen Seite kann ich gut verstehen, dass man über ständige Optimierungen keine Einzelheiten erfahren kann.

Meine Frage ist eigentlich sehr simpel, ob Swisscom Nummernübertragungs-PINs anbietet, welche die in Kraft treten, wenn ein SIM-Wechsel beantragt wird. Das bedeutet: Wenn jemand einen SIM-Swap versucht, braucht er zuerst den PIN – unabhängig davon, welche anderen Daten er hat. Scheinbar sollen dies andere Telefonanbieter in Gebrauch haben. Aus rein logischer Sicht kann ich diesen Schutz als Laie nachvollziehen.

Wenn sich jemand Zugang ins Kundencenter verschaffen kann, so kann diese Person faktisch per Knopfdruck eine neue SIM-Karte bestellen.

Schon nur diese Tatsache erfüllt mich nicht mit viel Vertrauen.

Und hier noch ein interessanter Artikel:

https://www.20min.ch/story/fuer-12000-dollar-verkauft-ein-russischer-hacker-personendaten-von-schweizer-kunden-103042451#

WalterB

@Metteunteu61

Wegen dem wurde das Kundencenter Login verbessert welches aber einigen Anwender nicht passt und das sie sogar mit Kündigung vom Vertrag drohen.

Jedenfall eine neue SIM Karte wird nicht so einfach verschickt ohne das genau Personendaten vorliegen.

Für besonders schützenswerte Funktionen ist die 2-Faktor-Authentifizierung immer aktiv. Beispielsweise für Rechnungen, Verbindungsnachweise, Verbindungen via VPN oder aus dem Ausland.

Metteunteu61

Mir ist bewusst, dass Swisscom versucht ihre Kunden zu schützen – einfach mit diesen technischen Mitteln, welche derzeit der Swisscom zur Verfügung stehen bzw. im Zuge des rasanten technischen Wandels zur Verfügung gestellt wurden.

Eine Vorgehensweise von SIM Swapping hat die Eigenheit, dass der Angreifer zuerst versucht an möglichst viele Daten des Benutzers zu bekommen.

So kann der Telefonbetreiber getäuscht werden, indem der Angreifer sich als Kunde ausgibt. Eine Verifizierung des Kunden bei SIM-Verlust ist ein Thema – eine hochstehende Technik zum Schutz der Kunden ein zweiter Ansatz.

Als Beispiel nenne ich folgenden Artikel, wo Telefonica (Telekommunikation Unternehmen in Spanien) technische höchste Sicherheit anstrebt und daher auch in diese Sicherheit entsprechendes Geld investiert. Ein solcher Artikel ist einsehbar und transparent.

https://cryptonews.net/de/news/blockchain/28569123/

millernet

Es geht auch ganz ohne SIM SWAP:

Dann gibt’s da natürlich auch Lösungen: https://messagewhiz.com/secure-sms-for-telecoms

Zudem lassen sich Ausweisdokumente fälschen und Identitäten vortäuschen, insbesondere wenn heute gebräuchliche Identifikationsystemen (z.B Swisscom RA, Sunrise ID Checker) mit Kamera verwendet werden und diese sich mittels LLM resp. Gen AI täuschen lassen, auch wenn menschliche Prüfer per live stream die Identifikation vornehmen. Gesichter können dank AI überzeugend, per live stream und in allen Perspektiven inkl. korrekter Beleuchtung gefällscht werden und auch Pass- und ID-Fotos, wo das entsprechende Dokument im live stream abgefilmt werden muss:

https://www.404media.co/inside-the-underground-site-where-ai-neural-networks-churns-out-fake-ids-onlyfake/

Metteunteu61

Du fühlt man sich als Swisscom-Kunde jetzt doch viel sicherer.

Ich hoffe zumindest sehr, dass die letzten Jahre viel Personal für die Sicherheit und in fortschrittliche Sicherheits-Infrastruktur investiert wurde.

In der Presse habe ich darüber nichts gelesen. Statt günstige Abos ist das Thema Sicherheit ein wichtiges Kriterium für mich oder andere Mitmenschen geworden.

Über SS7 Attacken weiss ich eigentlich nichts. Es hört sich so an, dass man mit entsprechenden Tools als Script-Kiddie und einem angepasstem Workflow dies sogar machen kann. Erinnert mich irgendwie an Cablecom vor 10 Jahren: Gratis TV-Schauen mit der Dreambox – jeder Depp kann einen dynamischen Schlüssel generieren….

GrandDixence

Metteunteu61 schrieb:

Du fühlt man sich als Swisscom-Kunde jetzt doch viel sicherer.

Da wiegt man sich wohl leider in falscher Sicherheit:

- SMS ist ein unsicherer, unverschlüsselter Kommunikationskanal. Dank SS7 ist es für Kriminelle und Geheimdienste sehr leicht, SMS mitzulesen, abzufangen oder zu verfälschen. Auch der Versand von SMS mit gefälschten Telefonnummern des Absenders ist sehr einfach.

https://www.heise.de/news/Chaos-Computer-Club-Nutzt-2-Faktor-Authentifizierung-aber-bitte-nicht-via-SMS-9798159.html

- Klassische Sprachtelefonie per MSISDN (Telefonnummer +41….) ist ein unsicherer, unverschlüsselter Kommunikationskanal. Die Telefonnummer des Anrufenden ist sehr leicht fälschbar. Bei VoIP-Telefonieanbieter wie DUS.net kann man die beim Angerufenen anzuzeigende Telefonnummer auf einer Webseite (Kundencenter) konfigurieren:

Bei diesen VoIP-Telefonieanbietern verhindert nur ein “Verifizierungsanruf” durch den VoIP-Telefonieanbieter gröberen Unfug mit der Telefonnummer.

Zur Erinnerung: Wegen der mangelhaften Authentifizierung des Mobilfunknetzwerks durch das Mobiltelefon ist jedes ordentlich konfigurierte WLAN sicherer als das sicherste Mobilfunknetzwerk auf dieser Erdkugel! Siehe dazu:

https://community.swisscom.ch/t5/Mobile/Automatische-Netzauswahl-im-Roaming-Zufallsprinzip/m-p/778599#M12795

Für die eigene Sicherheit muss man immer SELBER sorgen! Da darf man sich NIE auf Zweit- oder Drittpersonen verlassen…

\=> Nach Möglichkeit sichere, verschlüsselte Kommunikationskanäle mit Ende-zu-Ende-Verschlüsselung verwenden (TLS, SSH, S/MIME, OpenPGP, HTTPS, SIPS/SRTP, zRTP, Axolotl-/Matrix-Protokoll und so weiter). Alle Endgeräte unter vollständiger, eigener Kontrolle. Zügig alle Sicherheitsupdates auf allen Endgeräten installieren.

\=> Nach Möglichkeitkeit für den Netzwerkzugriff benötigte Basisdienste, wie DNS, Radius und NTP, mit sicherer Authentifizierung (und Verschlüsselung) absichern: DNSSEC, DNS mit TLS, Network Time Security (NTS), Radsec und so weiter. Alle Netzwerkkomponenten unter vollständiger, eigener Kontrolle. Zügig alle Sicherheitsupdates auf allen Netzwerkkomponenten installieren.

\=> Nach Möglichkeit eigene Netzwerke und Funknetzwerke verwenden und betreiben (WLAN, LoRaWAN, Meshtastic).Netzwerkzugriff mit Massnahmen wie SPI-Firewall, VPN, VLAN, EAP-TLS, 802.1x und so weiter absichern.

\=> Die für die verschlüsselte Kommunikation, Netzwerkzugriff und Authentifikation verwendeten privaten Schlüsseln sind nach Möglichkeit in einem HSM aufzubewahren (Smartcard, (f)TPM, USB-Security-Token, SIM-Karte und so weiter).

https://community.swisscom.ch/t5/Archiv-Telefonie/Mobile-ID-funktioniert-als-zweite-SIM-Karte-im-iPhone-nicht/m-p/622942#M59151

https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-ikev2-mit-zertifikat-benutzername-oder-passwor-t17833.html#p101137

Metteunteu61

Dem stimme ich nicht ganz zu. Die Verantwortung liegt ausschliesslich bei Swisscom, weshalb ich nichts in die eigenen Hände nehmen möchte.

Es gibt nur zwei Optionen: Entweder gibt es ein hochwertig gesichertes System oder nicht. Viel Spielraum für Diskussionen gibt es dort nicht.

Sollte der zweite Fall (Supergau) zutreffen, dann wären viele Kunden betroffen und die Firma faktisch pleite.

GrandDixence

Es gibt kein genügend sicheres Mobilfunknetzwerk auf dieser Erdkugel.

https://community.swisscom.ch/t5/Mobile/Automatische-Netzauswahl-im-Roaming-Zufallsprinzip/m-p/778599#M12795

Und der Supergau im Mobilfunknetzwerk ist im Fall des grössten ukrainischen Mobilfunkanbieters (Kyivstar) auch bereits eingetreten.

https://www.heise.de/news/Hacker-Angriff-auf-ukrainischen-Mobilfunkanbieter-Kyivstar-9573034.html

Vielleicht deckt die (hoffentlich abgeschlossene) Cyber-Schutz-Versicherung den Schaden vom Hackerangriff…

https://community.swisscom.ch/t5/Mobile/easy-protection/m-p/798648#M13646

WalterB

@Metteunteu61

Leider stimmt Deine Aussage nicht ganz das eine Firma 100% verantwortlich sein muss sonst müssten die gehackten Bundessystem welche unsere Daten haben uns auch Schadenersatz zahlen.

Und es gibt keine 100% Sicherheit, nirgends.

Jedenfalls welche Risiken eine Firma übernimmt muss in den AGB geschrieben sein!