Heutzutage gibt es viele Geschichten über verschiedene Finanzbetrügereien – man kann fast jeden Tag eine neue finden. Aber einige stechen heraus und gewinnen an Zugkraft, so dass sie schließlich von Millionen wahrgenommen werden.
Eine davon war die jüngste Geschichte von Charlotte Morgan, einer jungen Londonerin, die Ende August wie so oft in ihr örtliches Fitnessstudio in Chiswick, Westlondon, ging, um zu trainieren.
Sie war in Feierlaune, als sie ankam, denn sie hatte gerade einen neuen Job bekommen. Doch die Freude schlug bald in Verzweiflung um, als sie ihre Trainingseinheit beendete und gehen wollte: Ihre Spindtür war angelehnt und ihr Rucksack war weg.
Bald fand sie heraus, dass dies auch anderen Benutzern des Fitnessstudios passiert war: Es handelte sich um einen organisierten Diebstahl.
Neben anderen Besitztümern hatte Charlotte auch ihr Telefon, ihre Bankkarte und ihre Haustürschlüssel verloren. Aber dass sie aus ihrer Wohnung ausgesperrt war und ihr Fahrrad nicht loslassen konnte, weil es draußen an ein Geländer gekettet war, war, wie sich bald herausstellte, die geringste ihrer Sorgen.
Innerhalb weniger Stunden waren die Diebe in London auf Einkaufstour und gaben allein in einem Apple Store 3.000 Pfund aus, in anderen Geschäften weitere Tausende.
Als ihr klar wurde, dass sie auf diese Weise ins Visier genommen worden war – was nicht einfach ist, wenn man plötzlich kein Telefon mehr hat, mit dem man kommunizieren kann, keine Karte, mit der man Reisen oder Waren bezahlen kann, und nicht mehr in die eigene Wohnung kommt, um auf andere Computergeräte zuzugreifen -, war Charlotte zunächst halbwegs beruhigt, dass die Diebe nur das Guthaben auf ihrem Girokonto mitnehmen konnten.
Doch die Realität sollte weitaus schlimmer sein. Bald stellte sich heraus, dass es den Dieben irgendwie gelungen war, alle Sicherheitseinstellungen ihres Telefons zu umgehen – und sie hatten nicht nur ihr Girokonto, sondern auch ihre Ersparnisse geplündert. Und innerhalb weniger Stunden hatten sie alles mitgenommen. Tausende von Pfund, die sie über Jahre hinweg hart erarbeitet hatte, waren gestohlen worden. .
Sie war verständlicherweise schockiert und am Boden zerstört – aber auch verwirrt.
Denn es war ihr nie in den Sinn gekommen, dass Diebe allein durch den Diebstahl ihres Handys in der Lage sein könnten, sie so schwer anzugreifen, weil sie glaubte, sie sei durch PIN-Nummern zur Aktivierung der Apps auf ihrem Telefon zusätzlich geschützt.
Erst später fand sie heraus, wie sie es gemacht hatten.
Charlotte erklärte: „Ein Sicherheitsexperte der Bank hat mir erklärt, wie der Betrug wahrscheinlich abgelaufen ist. Sobald der Dieb meine Debitkarte hatte, brauchte er mein Smartphone nicht mehr – nur die Sim-Karte, die an der Seite herausgenommen und in ein anderes Telefon eingesetzt werden kann.
„Damit werden die Sicherheit des Daumenabdrucks und die Gesichtserkennung umgangen. Es ist das digitale Äquivalent eines offenen Fensters in einem Haus.
„Sobald der Dieb in mein Konto eingedrungen ist, kann er die PIN online zurücksetzen und dann alle Sicherheitspasswörter meiner Bank ändern. Das ist schockierend einfach. Ich glaube, der Dieb konnte das im Taxi vom Fitnessstudio zum ersten Apple Store machen.“
Das ist mit ziemlicher Sicherheit geschehen, und wenn ich gefragt worden wäre, hätte ich die gleiche Erklärung gegeben.
Der Austausch von Sims zwischen Mobiltelefonen ist sehr, sehr einfach – mit verheerenden Folgen.
Wir bei TMT erkennen einen Sim Swap – wie dieser Betrug genannt wird – an den ungewöhnlichen Transaktionsmustern, die unweigerlich darauf folgen. Wenn jemand wie Frau Morgan über einen langen Zeitraum hinweg ein umsichtiger Sparer war, können wir diese Vorgeschichte sehen – wir erwarten nicht, dass sie nachts ihr Sparkonto mit Tausenden von Pfund in wiederkehrenden Beträgen plündert – und das ist dann ein sofortiges Warnsignal.
Natürlich kann und wird der Sim-Swap aus legitimen Gründen ständig stattfinden. Erst letzte Woche habe ich selbst ein neues iPhone bekommen. Ich habe eine Sicherungskopie gemacht, meine Sim-Karte auf das neue Handy umgestellt und es hat sofort meine alte Homepage und meine Kontakte übernommen. Die Leichtigkeit, mit der dies geschieht, ist einer der Hauptgründe dafür, dass die Menschen von einem Vertrag zum nächsten bei derselben Handymarke bleiben, sei es Apple oder ein Android-Rivale.
Unsere Sicherheitsprotokolle wären in der Lage gewesen, den Unterschied zwischen dem, was Charlotte passiert ist, und meinem unschuldigen Sim-Switch zu erkennen, weil sich die beiden unterschiedlich verhalten haben, der eine unschuldig, der andere ruchlos.
Allerdings können wir Geräte nur dann auf diese Weise überwachen, wenn wir von einem autorisierten Kundenunternehmen darum gebeten werden und dieses wiederum die Zustimmung der Nutzer hat. In diesem Fall scheint Charlottes Bank keine solche Sicherheitssoftware von einem unabhängigen Unternehmen wie uns verwendet zu haben. Und das ist nicht ungewöhnlich, da dies meist nur zu dem Zeitpunkt geschieht, zu dem sich ein Kunde für einen neuen Dienst anmeldet – dem so genannten Onboarding-Punkt.
Ich frage mich langsam, ob es nicht an der Zeit wäre, dass Unternehmen wie die Charlotte’s Bank solche Dienste viel häufiger anbieten. Schließlich kostet jede Kontrolle nur ein paar Cent, und allein mit dem Betrag, den man ihr schließlich erstatten musste, hätte man Hunderttausende solcher Präventionsmaßnahmen bezahlen können.
Aber es sind nicht nur die Kosten, die eine breitere Anwendung dieser Kontrollen verhindern, es ist auch die Frage des Datenschutzes. Während die Kunden daran gewöhnt sind, dass sie bei der Anmeldung um ihre Zustimmung zu Überprüfungen gebeten werden, dass ihre Kreditwürdigkeit überprüft wird usw., sind sie verständlicherweise sehr viel zögerlicher, wenn es darum geht, einer routinemäßigen, laufenden Überprüfung ihrer Daten zuzustimmen.
Es könnte also noch einige Zeit dauern, bis es Systeme gibt, die verhindern, dass Diebe die nächste Charlotte Morgan auf die gleiche Weise angreifen.
In der Zwischenzeit ist es vielleicht das Beste, wenn Sie sich selbst schützen. Sie können dies tun, indem Sie eine neue PIN-Nummer auf Ihrer SIM-Karte selbst festlegen. Dies würde verhindern, dass Diebe ohne Kenntnis der PIN einen „Sim Swap“ durchführen können.
Auf einem iPhone müssen Sie nur in die Einstellungen gehen und auf „Telefon“ tippen. Tippen Sie anschließend auf „SIM PIN“, um auf diese Funktion zuzugreifen. Tippen Sie auf „SIM PIN“, um sie zu aktivieren. Ihre SIM-Karte wird mit einer Standard-PIN ausgeliefert, die von Ihrem Mobilfunkanbieter festgelegt wurde und die Sie dann ersetzen können.
Ich hoffe, dass dies kurzfristig hilft. Längerfristig wäre es schön, wenn die Geschäftswelt mehr tun könnte.
Wenn Sie mehr über die von TMT Analysis angebotenen Dienstleistungen zum Schutz vor Betrug erfahren möchten, schreiben Sie uns an info@tmtanalysis.com