Den Verbrechern gelang es durch die Kombination verschiedener Methoden, die Zwei-Faktor-Authentifizierung zu überlisten

Alles beginnt mit einem Phishing-Versuch, indem sie Websites von Banken und Zahlungsdienstleistern gefälscht werden, auf welchen die Kunden ihre Log-in-Daten eingaben. Auf diesem Weg gelangten die Hacker nicht nur an die Log-in-Daten für die Bankkonten per se, sondern erfuhren auch die Handynummer, die für die Zwei-Faktor-Authentifizierung - also etwa für einmalige TANs via SMS - genutzt wird.

Der Sinn dieser Zwei-Faktor-Authentifizierung ist, dass Verbrecher die Zugangsdaten für das Konto ebenso wie Zugang zum Handy brauchen, um Überweisungen tätigen zu können. Diese Kombination gilt generell als recht sicher. Wie ging es also weiter?
Ummeldung auf E-SIM

Anschließend erbeuteten die Gauner - über Methoden, welche aus Sicherheitsgründen nicht genannt werden - von externen Vertriebspartnern deren Zugangsdaten zum Vertriebssystem von A1. In diesem System können Verträge an- und umgemeldet werden.

Mit dem Zugang zu diesem System haben es die Kriminellen geschafft, die ihnen bekannten Telefonnummern von der ursprünglichen SIM-Karte auf eine E-SIM zu portieren. E-SIMs sind keine physischen Karten mehr, stattdessen wird der Vertrag einfach auf einem Chip im Smartphone aktiviert - unter anderem hat Apple diese Woche verkündet, auf seinen iPhones in den USA nur noch auf E-SIMs zu setzen.