Dies ist der zweite Teil von „Kids ohne Skrupel". Wenn Ihr Teil eins noch nicht gehört habt, fangt am besten da an. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dirty Coms“.
16:02 Uhr
|
|
26.05.2026 16:02 Uhr |
Dies ist der zweite Teil von „Kids ohne Skrupel". Wenn Ihr Teil eins noch nicht gehört habt, fangt am besten da an. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Dirty Coms“.
Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint wöchentlich auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.
JACK: Mein Gast ist „Drew" – ein junger Mann, der als Teenager tief in die Welt der Online-Untergrund-Communities abgerutscht ist. Er gibt uns einen schonungslosen Einblick in die Szene rund um Hacker, Betrüger und digitale Schwarzmärkte. Drew erzählte uns in der ersten Folge, wie er mit dreizehn Jahren über Roblox und dubiose Robux-Deals in kriminelle Kreise geriet, sich an Geschenkkarten-Phishing beteiligte und auf dem berüchtigten Forum OGUsers mit dem Handel gestohlener Benutzernamen Geld verdiente. Dabei wurde er selbst mehrfach gedoxxt, erpresst und zweimal mit 10.000 USPS-Kartons vor seiner Haustür zugemüllt – eine beispielhafte Geschichte, für den schonungslosen Umgang Krimineller untereinander. In Teil 1 haben wir gehört, wie Drew Schritt für Schritt in diese toxische Welt hineingezogen wurde, welche Lektionen er über Opsec und Vertrauen im Netz gelernt hat, und warum er diese Szene heute dokumentieren und offenlegen will. Jetzt in Teil 2 wird es konkreter – denn Drew fängt an, Namen zu nennen und Methoden zu enthüllen, mit denen in diesen Communities richtig viel Geld gemacht wird.
DREW: Lass mal überlegen. Was habe ich Kids in letzter Zeit tun sehen?
JACK: Lass uns doch beim SIM-Swapping einsteigen.
DREW: Wir können über SIM-Swapping sprechen.
JACK: Okay, also ihr wisst vielleicht, was SIM-Swapping ist, aber falls nicht, erkläre ich es ganz schnell. SIM-Swapping ist, wenn du die Telefongesellschaft austrickst, damit sie eine fremde Handynummer auf dein Telefon beziehungsweise Deine SIM-Karte überträgt. Wenn man zum Beispiel sein Handy verliert und ein neues bekommt, muss man der Telefongesellschaft sagen, dass man ein neues Telefon hat und dass die Nummer darauf funktionieren soll. Eigentlich sollte es nicht möglich sein, dass jemand einfach deine Telefonnummer übernimmt, aber es gibt Wege, wie das gemacht werden kann. Der erste Weg ist ziemlich offensichtlich.
DREW: Man sucht sich einen Insider in diesen Unternehmen, normalerweise einen – wie wir ihn nennen – „Manny“ oder Manager, der einem seine Zugangsdaten gibt oder einfach SIM-Swaps durchführt, wenn niemand hinschaut, als wäre es ein imaginärer Kunde. Diese Insider werden häufig mit etwa 10.000 Dollar pro Swap bezahlt. So hat das SIM-Swapping angefangen.
JACK: Okay, das ist also eine Möglichkeit, einen SIM-Swap durchzuführen. Wenn man Filialleiter eines Handyladens ist, hat man natürlich die Möglichkeit dazu. Wenn man das für eines dieser Kids macht, kann man richtig viel Geld verdienen, locker über 1.000 Dollar pro Nummer. Vielleicht sogar 10.000 Dollar pro Nummer. Aber es gibt eine neue Methode, wie diese Kidsr das machen, und die ist irrsinig, geradezu brutal.
DREW: Da ist es nicht so, dass man nicht die Telefongesellschaft anruft; die neue Methode nennt sich Remo-Snatching. Remo ist die Abkürzung für Remote-Tablet. Man geht also zum Beispiel zu T-Mobile. T-Mobile ist derzeit das einfachste Ziel. Man geht in einen T-Mobile-Laden, rennt rein, reißt dem Filialleiter das Tablet aus den Händen und rennt wieder raus.
JACK: Alles klar. Wenn man das Tablet des Filialleiters hat, ist das das Gerät, das autorisiert ist, Telefonnummern zu übertragen. Es macht also Sinn, dass man durch den Diebstahl einen SIM-Swap bei jemandem durchführen kann. Aber halt, ganz so einfach ist es nicht. Gehen wir einen Schritt zurück und zwar einen großen Schritt zurück. Zuerst muss man wissen, bei wem es sich lohnt, einen SIM-Swap durchzuführen. Das Ziel zu identifizieren, kann lange dauern, und dafür sind viele Schritte nötig, und die möchte ich hier aufschlüsseln. SIM-Swapping war schon ein paar Mal Thema in den US-Darknet Diaries, zum Beispiel in den Episoden The Pizza Problem und Tennessee. Das sind zwei Geschichten, in denen Leute ins Visier genommen wurden, einfach weil sie wertvolle Benutzernamen auf Instagram und Twitter hatten. Okay, das wäre also ein Grund, jemanden ins Visier zu nehmen: um die Kontrolle über seinen Benutzernamen zu erlangen und ihn auf OGUsers für ein paar tausend Dollar zu verkaufen. Aber ich habe das Gefühl, das ist mittlerweile ein alter Hut. Es gibt eine ganz neue Verbrechenswelle, die da über uns rollt.
DREW: Die Leute führen einen SIM-Swap für Bankzugänge durch – also Bank-Logins –, über die sie Geld überweisen oder eine Überweisung vornehmen.
JACK: Okay, also Bank-Daten; obwohl das in dieser Community ein großes Ding ist, ist es wirklich schwer, sowas tatsächlich durchzuziehen. Zuerst muss man ein gültiges Login für den Benutzer herausfinden, und woher man Passwörter bekommt, darauf kommen wir später. Aber nehmt für den Moment einfach an, dass wir einen funktionierenden Benutzernamen und ein Passwort für ein Bankkonto haben. Wir loggen uns also in das Konto ein.
DREW: Aber es gäbe keine Möglichkeit, das Geld abzuheben, denn dafür müsste man ein Einmalpasswort oder eine Einmal-PIN erhalten. Also versuchen sie, die SIM-Karte der Person zu tauschen, um an den Einmal-Code zu kommen. SIM-Swapping bei Banken ist eigentlich ein verrücktes Unterfangen, denn es liegt zwar eine Menge Geld auf Bankkonten, aber man braucht auch praktisches Wissen über Geldwäsche, da man buchstäblich das Geld der Person stiehlt und einen Weg finden muss, damit es nicht zu einem zurückverfolgt werden kann. Das ist natürlich extrem schwierig.
JACK: Richtig, während es also einige wirklich clevere Leute gibt, die in diesem Bereich mitmischen, ist das einfachere Ziel, es auf Leute abzusehen, die Kryptowährungen haben. Denn mit Kryptowährungen ist es kinderleicht, das ganze Geld in einer Wallet zu schnappen und es einfach an einen Anonymisierungsdienst wie Tornado Cash zu senden und auszahlen zu lassen. Da das aber so ein lohnendes Ziel ist, sind allerhand Leute hinter Kryptowährungen her. Wie auch immer, es ist für diese Kids sinnvoll, Leute mit prall gefüllten Krypto-Wallets ins Visier zu nehmen, aber wie findet man jemanden mit einer fetten Krypto-Wallet? Nun, das erfordert eine ganze Reihe von Schritten.
DREW: Es handelt sich also um einen riesigen Markt, der ziemlich im Verborgenen stattfindet. Die Leute nutzen sogenannte „Combo-Listen“, also im Grunde durchgesickerte Datenbanken mit Passwörtern und E-Mail-Adressen, wobei die Passwörter natürlich entschlüsselt wurden, etwa mit RainbowCrack oder John the Ripper. Sie lassen diese Daten durchlaufen und suchen nach sogenannten „Commons“, also Passwörtern, die auf mehreren Websites verwendet werden.
JACK: Okay, ihr habt hier ja schon öfter von großen Websites gehört, die von Datenlecks betroffen sind, wo die gesamte Benutzerdatenbank gestohlen wird. Wenn man Kunde auf einer dieser Seiten ist, zuckt man vielleicht einfach mit den Schultern, ändert vielleicht sein Passwort und macht weiter, in der Hoffnung, dass nichts auf einen zurückfällt, oder? Nun, solche Daten sind in diesen Kreisen Gold wert. Zuerst kann man auf eine Seite wie raidforums.com oder nulled.2 oder cracked.2 gehen. Seiten, die Tonnen von kompletten Datenbank-Leaks posten. Es kostet vielleicht ein paar Dollar, um ranzukommen, aber man kann sich die dann direkt dort herunterladen. Wir sprechen von großen Websites, die gehackt wurden; und deren Datenbanken liegen genau dort, leicht zu schnappen, Seiten wie Adobe, die Alaska-Wählerdatenbank. Es gibt dort anscheinend eine Apple-Datenbank. Adult Friend Finder, die Android-Foren, und das ist nur ein kleiner Auszug aus den A's. In diesen Datenbank-Dumps können eine Menge Infos sein, enthalten typischerweise enthalten sie aber den Namen einer Person, ihren Benutzernamen, ihre E-Mail, vielleicht ihre Telefonnummer, vielleicht ihre Adresse und ihr Passwort. Aber ihr Passwort ist in der Datenbank typischerweise gehasht, was bedeutet, dass man nicht wirklich sehen kann, wie es lautet.
Ab hier kommen Tools ins Spiel, die Passwort-Hashes knacken können. Es ist schwer, einen einzelnen Hash zu knacken, aber wenn es das ist, was man haben will und man gleichzeitig also hundert Millionen Datensätze in der Adobe-Datenbank hat, dann wird man wahrscheinlich einige Hashes finden können, die nicht besonders stark sind. Für diese Leute hat man dann gültige Benutzernamen und Passwörter. Jetzt nimmt man diesen Benutzernamen oder diese E-Mail-Adresse und gleicht sie mit anderen Datenlecks ab. Verwendet diese Person Passwörter wieder? Gibt es Benutzernamen und Passwörter im Adobe-Leak, die auch bei Netflix funktionieren? Die Antwort ist immer: Leider ja. Viele Leute suchen sich einfach ein Passwort aus und verwenden das dann auf allen Seiten, auf denen sie Konten haben. Nur durch das Knacken eines Datenbank-Dumps hat man nun also Zugriff auf das Netflix-Konto von jemandem, und schon das eröffnet einen völlig neuen, riesigen Markt in den Untergrund-Communitys. Die Leute kaufen Netflix-Konten für jeweils 2,50 Dollar, weil das offensichtlich viel billiger ist, als die 18 Dollar im Monat für ein Premium-Abonnement zu bezahlen.
DREW: Okay, übertragen wir das mal auf Walmart, Chipotle, Nordstrom, OnlyFans, Surfshark, NordVPN, Macy’s Credit, Buffalo Wild Wings und Papa Johns.
JACK: Es gibt Seiten, auf die man gehen kann, um Benutzerkonten für jede dieser Websites zu kaufen. Man bekommt vielleicht sogar ein Kombipaket für einen Haufen Logins, sagen wir 10 Dollar für das ganze Paket. Aber Moment, ihr fragt euch vielleicht, warum jemand ein Login für eine Restaurantkette wie Chipotle kaufen wollen würde? Nun, willkommen beim Fall der mysteriösen Burrito-Bestellungen, von dem Leute im Chipotle-Subreddit berichten. Man kann eine Chipotle-App auf sein Telefon herunterladen und sie nutzen, um Essen zu bestellen, aber die App ist oft mit der Kreditkarte verbunden. Man kann also das Chipotle-Konto von jemand anderem nutzen, um einen Burrito für sich selbst zu bestellen, und dann bezahlen die anderen dafür. Das Gleiche gilt für Papa Johns; kostenlose Pizza, wenn man ein gültiges Login für das Konto von jemand anderem hat. Das führt uns in die Welt der Pizza-Plugs, die ich schon eine Weile genau beobachte.
Es ist fast schon ein Mythos. Es gibt diese Chatrooms, in die man gehen und eine Essensbestellung aufgeben kann, wie zum Beispiel drei große Pizzen, und jemand im Chatroom nimmt die Bestellung an und verlangt vielleicht 5 Dollar von dir. Dann nutzen sie das gestohlene Pizza-Konto, um sich einzuloggen, die Bestellung aufzugeben und dir dann die Pizza zu schicken. Es hat sie 2 oder 3 Dollar gekostet, das Konto zu kaufen; sie verdienen 5 Dollar damit. Du bekommst drei Pizzen für 5 Dollar, und oh, der Kontoinhaber ist derjenige, der dafür bezahlt. Ich sage euch, das geht so viel tiefer, als ich Zeit dafür habe. Oh, und der Slang für den Kauf und Verkauf dieser gültigen Logins ist einfach Logs. Es gibt also einen Haufen Leute da draußen, die Datenbank-Dumps durchsuchen und versuchen, gültige Logs für so viele Orte wie möglich zu finden, damit sie diese Logs mit Gewinn verkaufen können.
DREW: Apple-Logs kannst du für bis zu 50 Dollar verkaufen, denn die Leute können mit deiner verknüpften Apple-Kreditkarte ein paar MacBook-Bestellungen aufgeben. Wenn du davon zehn Bestellungen pro Tag bekommst, sind das 500 Dollar am Tag.
JACK: Ein wirklich beliebtes Login im Moment sind Hilton Honors Logins, weil dir diese Logs ein paar kostenlose Übernachtungen in einem schicken Hotel bescheren können. Okay, also gibt es zwei Arten von Konten, die man bekommen kann; FA und NFA. Das heißt, Full Access (Vollzugriff) und Non-Full Access (kein Vollzugriff). Alle Konten, die wir gerade aufgelistet haben, sind im Grunde NFA, kein Vollzugriff. Ein Konto mit Vollzugriff ist eines, das all diese gültigen Logins hat, plus ein gültiges E-Mail-Konto-Login. Das bedeutet also, wenn man in das Outlook oder Gmail von jemandem hineinkommt, dann kann man ganz einfach das Passwort für jedes dieser anderen Konten zurücksetzen, in das man hinein will. Es gibt einem wirklich vollen Zugriff auf das digitale Leben von jemandem, und es gibt ein kleines Tool, das Leute benutzen, mit dem sie, sobald sie im E-Mail-Konto von jemandem sind, schnell alle E-Mails durchsuchen können, um zu sehen, ob es in diesen E-Mails wertvolle Informationen gibt.
DREW: Das Programm, das das macht, heißt Yahoo Arranger. Es sucht automatisch nach Schlüsselbegriffen innerhalb von Yahoo oder den Websites, von denen man wissen will, ob sie dort angemeldet sind. Wenn man also sehen will, ob sie bei Amex oder Bank of America oder Chipotle angemeldet sind, nutzt man einfach Yahoo Arranger und schaut nach.
JACK: Verrückt, oder? Aber es ist wirklich nicht so komplex, wenn man auch keine FA-Konten hat. Man kann einfach einen Datenbank-Dump nehmen und ihn in eine Combo-Liste umwandeln; das ist nur eine formatierte Liste, die Benutzername und Passwort anzeigt, und man könnte diese Combo-Liste nehmen und hätte ein Tool bauen, das einfach automatisch versucht, sich bei unzähligen Seiten einzuloggen, um zu prüfen, ob das Passwort irgendwo funktioniert.
DREW: Dann nutzen sie Software wie Sentry NBA, OpenBullet oder SilverBullet, um damit automatisch all diese Combo-Listen zu überprüfen. Das ist also kein manueller Prozess, und er läuft mit wahrscheinlich 5.000 CPM, was bedeutet, dass er oft mit 5.000 Versuchen pro Sekunde läuft. Die Leute verkaufen schätzungsweise bis zu 5.000 Logs am Tag in ihren Shops. Ich persönlich kann sehen wie viel Bestand ein Shop hat, also kann man erkennen, wie viele Verkäufe man pro Tag erzielt. Ich habe gesehen, wie Leute bis zu 10.000 Konten pro Tag für 3,50 Dollar pro Konto verkauft haben; 35.000 Dollar.
JACK: Okay, jetzt sollte klar sein, wie jemand an einen Haufen gültiger Logins für verschiedene Seiten kommen kann. Aber eigentlich wollte ich das alles nur sagen, weil das euch helfen wird zu verstehen, wie wir jemanden finden, der eine Menge Kryptowährung hat, um ihn ins Visier zu nehmen.
DREW: Die beliebteste Datenbank, die ich in meinen Jahren hier je gesehen habe, ist die Ledger-Datenbank. Ledger ist ein Unternehmen, das physische Cold-Wallet-Speicher für Bitcoin anbietet. Denn, was sagt es über jemanden aus, wenn er eine Ledger-Wallet kauft? Es bedeutet, dass er oder sie Bitcoin hat. Das macht diese Personen zu deiner perfekten Zielgruppe für Kryptowährungen.
JACK: Oh, sehr interessant. Ledger ist eine physische Krypto-Wallet, und im Jahr 2020 wurde deren Benutzerdatenbank gehackt. Fünf Monate später wurde die Datenbank in Raid-Foren gepostet. In der Datenbank befinden sich E-Mail, Name, physische Adresse und Telefonnummer. Es waren aber keine Passwörter oder Krypto-Schlüssel dabei. Aber man kann natürlich die E-Mail-Adresse aus der Ledger-Datenbank nehmen und abgleichen, ob sie mit E-Mails in einer anderen Datenbank übereinstimmt, und dort kann man dann nachschauen, ob es bekannte Passwörter für diese E-Mail-Adresse gibt. Dann kann man versuchen, diese E-Mail-Adresse und das Passwort bei Coinbase oder Binance oder Kraken oder FTX oder Gemini oder irgendeiner Krypto-Börse einzugeben, um zu sehen, ob es ein gültiges Login ist. Das sind alles Krypto-Börsen, wo Leute ihre Kryptowährung aufbewahren. Wenn man den Benutzernamen und das Passwort von jemandem bei einer Krypto-Börse kennt, bedeutet das natürlich echten Ärger für ihn. Aber es gibt ein paar Sicherheitsprüfungen, die diese Börsen eingerichtet haben, um Kids wie diese zu bremsen. Erstens ist es schon sehr viel wert, nur zu wissen, ob die Person zum Beispiel bei Coinbase registriert ist. Vergesst das Passwort für eine Sekunde; einfach nur, ist diese E-Mail hier überhaupt registriert?
Wenn man die E-Mail-Adresse von jemandem und ein falsches Passwort eingibt, gibt es keinen Hinweis darauf, ob diese E-Mail dort registriert ist oder nicht. Wenn man jedoch versucht, sich für ein neues Konto mit einer E-Mail-Adresse anzumelden, die bereits existiert, dann Bingo. Coinbase lässt sich in die Karten schauen und sagt, dass diese E-Mail hier bereits registriert ist. So kann jemand den Ledger-Datenbank-Dump nehmen und herausfinden, wer Konten bei Coinbase oder Gemini oder Kraken oder Binance oder wo auch immer hat, und das dann mit anderen Datenbank-Dumps abgleichen, um herauszufinden, wie das Passwort für diese Konten lautet.
Wenn nun ein Dieb eine gültige E-Mail und ein Passwort für dein Krypto-Konto hat, steht ihm immer noch eine große Hürde im Weg; 2FA. Alle Krypto-Börsen verlangen, dass man die Zwei-Faktor-Authentifizierung aktiviert. Sie empfehlen, sich so etwas wie Google Authenticator oder Authy zu besorgen. Das sind Apps auf deinem Handy, die eine sechsstellige Nummer generieren, die du brauchst, um dich einzuloggen. Aber als absolutes Minimum schicken sie dir zur 2 Faktor Authentifizierung eine SMS mit einem sechs- oder siebenstelligen Code zum Einloggen. Ein Benutzername und ein Passwort allein reichen also nicht aus, um in das Krypto-Konto von jemandem zu gelangen. Man braucht auch diesen 2FA-Code. Die große Mehrheit der Coinbase-Nutzer verwendet solche SMS-Codes. Und Ihr ahnt, wo wir jetzt angekommen sind?
DREW: Viele Leute auf Coinbase besitzen Millionen von Dollar, daher diese Welle von SIM-Swapping. Dafür nutzen sie allgemeine Daten aus Datenbanken, verschaffen sich Zugang zu Coinbase – das läuft alles automatisiert ab – und erhalten dann Zugriff auf das Guthaben; sie haben einen SIM-Swap durchgeführt. Das ist enorm profitabel - profitabler geht's derzeit wahrscheinlich nicht.
JACK: Zu diesem Zeitpunkt haben wir genug Informationen, um das Ziel per SIM-Swap anzugreifen. Wir wissen, dass sie eine Ledger-Wallet haben und wir wissen, dass sie ein Coinbase-Konto haben, und wir haben ihren Benutzernamen und ihr Passwort. Alles, was jetzt noch nötig ist, ist, die Kontrolle über ihre Telefonnummer zu übernehmen, damit wir die SMS empfangen können, um uns einzuloggen. Aber obwohl das vielleicht ausreicht, um jemanden per SIM-Swap anzugreifen, gehen die Diebe noch einen Schritt weiter und versuchen herauszufinden, wie viel auf dem Konto ist, bevor sie jemanden per SIM-Swap angreifen.
DREW: Ob du's glaubst oder nicht, aber es gab etwa einen Monat lang eine Sicherheitslücke bei Coinbase, durch die man den Kontostand jedes beliebigen gültigen Benutzernamens und Passworts abrufen konnte. Das ging einfach – egal wie. Man brauchte keinerlei Zugriff außer Benutzername und Passwort. Man musste also keine SIM-Karte nachahmen, um den Kontostand zu sehen. Also haben die Leute einfach Millionen und Abermillionen von Kombinationen durchgespielt, eine Kombinationsliste bei Coinbase, und haben einfach die Millionäre von Coinbase gefunden. Und von diesen gibt es offensichtlich Millionen.
JACK: Das heißt, wenn man nur einen gültigen Benutzernamen und ein Passwort hatte, konnte man sehen, wie viel auf dem Coinbase-Konto des Benutzers war. Dadurch ist es dann sonnenklar, wen genau man für einen saftigen SIM-Swap ins Visier nehmen sollte. Aber man braucht immer noch diesen 2FA-Code, um reinzukommen und das Geld zu holen. Es war nur so, dass man ihn eine Zeit lang nicht brauchte, um das Guthaben zu sehen. Bleeping Computer veröffentlichte im Oktober 2021 einen Artikel, in dem stand, dass die Krypto-Wallets von 6.000 Coinbase-Kunden aufgrund einer Schwachstelle im 2FA-System leergeräumt wurden. Ich bin mir ziemlich sicher, dass es um diesen Bug geht, den Drew gerade erwähnt hat. Genau zu wissen, wie viel Geld jemand auf seinem Konto hat, ist entscheidend, um so einen SIM-Swap wirklich erfolgreich zu machen.
Es gibt noch ein letztes Detail zu Coinbase; wenn man einen gültigen Benutzernamen und ein Passwort hat und sich einloggt, sieht man, ob dieser Nutzer SMS-2FA nutzt oder so etwas wie Google Authenticator hat, weil die Seite einem sagt, nach welchem Code sie sucht. Die große Mehrheit der Coinbase-Nutzerinnen und Nutzer verwendet textbasierte 2FA, also SMS. Es kann jetzt immer noch das eine Problem geben, dass der Angreifer die Telefonnummer nicht kennt. Manchmal haben die die einfach noch nicht, und wenn man jemanden per SIM-Swap angreifen will, braucht man genau diese Telefonnummer, nicht wahr? Aber da steht direkt auf der Seite ein Hinweis, und der zeigt die letzten beiden Ziffern der Telefonnummer an, und da steht ausdrücklich: Gib den siebenstelligen Code ein, den wir gerade an sowas wie xxx-xxx-xx37 gesendet haben. Dieser kleine Hinweis, nur zu wissen, was die letzten beiden Ziffern der Telefonnummer sind, reicht diesen Dieben schon aus, um die vollständige Telefonnummer zu bekommen.
DREW: Also, normalerweise geht das so: Finde ihren Namen, ihren ungefähren Standort, ihre Telefonnummer. Es gibt eine Million Möglichkeiten, das zu tun. Mein Rat wäre: entschlüssle die E-Mail, die Sicherheitsvorkehrungen waren wahrscheinlich nicht besonders gut, sonst wären ihre Passwörter nicht durchgesickert. Darin findest du ihre IP-Adresse oder etwas anderes, mit dem du ihren Standort ungefähr bestimmen kannst. Führe dann eine Personensuche auf White Pages oder BeenVerified in diesem Gebiet mit ihrem Namen durch, und du wirst ihre Telefonnummer finden, die mit den letzten beiden Ziffern des Hinweises übereinstimmt.
JACK: Okay, so wählen diese SIM-Swapper also ihre Ziele aus. Zu diesem Zeitpunkt kennen sie den Benutzernamen, das Passwort, die Telefonnummer und den Kontostand, um zu wissen, ob sie einen dicken Fisch an der Angel haben. Oh, und man kann schnell nachschauen, zu welcher Art von Anbieter die Telefonnummer gehört, damit man den SIM-Swap beim richtigen Anbieter durchführen kann. Aber das ist ein großer Vorbereitungsprozess, nur um herauszufinden, wer unser SIM-Swapping-Ziel sein wird. Es ist sogar so viel Arbeit, dass dies, zumindest in den USA, ein ganz eigener Markt ist. Allein eine Liste von Zielen zu identifizieren und diese Informationen zu verkaufen, ist ein eigenes Geschäft. Obwohl es also nach viel Arbeit aussieht, könnte jemand einfach hier einsteigen, die Daten kaufen und einen SIM-Swap durchziehen. Okay, jetzt sind wir bereit für das große SIM-Swap-Event. Ihr erinnert euch, wie der Prozess anfing, oder?
JACK: Jemand rannte in einen T-Mobile-Laden, riss dem Filialleiter das Tablet aus den Händen und rannte wieder raus. Das nennt sich hier ein Remo, Remote-Tablet-Grab. Aber wir sind immer noch nicht bereit für diesen Teil. Bevor man nämlich das Tablet des Managers stiehlt, braucht man das Passwort des Managers, das auf dem Tablet ist, richtig? Man muss also den Laden auskundschaften, alles über den Manager herausfinden, was man kann, um Social Engineering bei ihm anzuwenden.
DREW: Einfach den Manager anrufen und eine Rolle einnehmen: Hey, hier ist John vom Help Desk bei T-Mobile. Kannst du dich bitte um dieses Ticket kümmern? Dann schicken sie schicken eine gefälschte URL, und er gibt sein Manager-Login ein.
JACK: Okay, jetzt hat man also das Passwort des Managers, um sich in das Tablet einzuloggen, und wir wissen, wie man an das Tablet kommt. Und das ist tatsächlich ein großes Problem, das T-Mobile zu bekämpfen versucht, und es kursieren derzeit interne Memos mit Anweisungen, was zu tun ist, wenn das in deinem Laden passiert. Eine Anweisung ist, sofort das IT Help Desk anzurufen, um das Tablet und das Manager-Konto deaktivieren zu lassen. Das dauert insgesamt typischerweise etwa zehn Minuten. Wir müssen also wieder einen Schritt zurückgehen, denn wir haben nur dieses Zehn-Minuten-Fenster, und wir müssen alles in diesem Zeitraum erledigen. Wir müssen also vorbereitet sein, und wir haben unsere Vorbereitungen noch nicht getroffen. Was ihr hier wissen müsst, ist, dass das nicht von einer Person gemacht wird; der Dieb, der in den Laden rennt, ist nur ein Bauer in diesem Spiel.
DREW: Die auf Telegram sie nicht die Art von Leuten, die in einen Laden rennen. Sie bezahlen irgendjemanden, den sie im echten Leben kennen, damit er für sie in den Laden rennt.
JACK: Die Person, die reinrennt, das Tablet schnappt und wieder rausrennt, wird auf der Liste hier wirklich am schlechtesten bezahlt.
DREW: Verdient wahrscheinlich 200 Dollar, Bro. Ich hab's gesehen, dass das so ist.
JACK: Sie zahlen also 200 Dollar dafür, dass jemand reingeht, das Tablet schnappt und es ihnen wieder rausbringt. Sie müssen in der Nähe sein, denn ihr erinnert euch, sie haben nur zehn Minuten Zeit dafür. Die Person, die das Tablet am Ende in den Händen hält, ist also besonders geschickt darin, durch die T-Mobile-Software zu navigieren, um den SIM-Swap durchzuführen. Das liegt vielleicht daran, dass sie vorher im Laden gearbeitet hat oder ein Video gesehen hat, wie es gemacht wird. Aber trotzdem ist die Person, die tatsächlich auf dem Tablet tippt und den SIM-Swap durchführt, noch immer nicht dieselbe Person, die die Kryptowährung von den Coinbase-Nutzern stehlen wird. Das ist eine ganz andere Gruppe von Leuten, die all diese Coinbase-Logs gesammelt haben und darauf warten, dass jemand einen Remo macht. Sie organisieren sich alle in einem Telegram-Chatroom, und sie sind bereit, einer Person für einen Remo-Swap manchmal 10.000 Dollar pro Nummer zu zahlen.
Nur um noch mal sicher zu gehen, diese Leute sind in diesem Telegram-Kanal und sagen: Okay, ich hoffe, jemand zieht heute Abend einen Remo durch ich habe drei Konten, die ich knacken will. Dann ist alles, was man tun muss, diese Telefonnummer an die Person weiterzugeben, die den Remo durchführt, richtig?
DREW: Perfekt, Mann. Du klingst jetzt wie ein echter Swapper. Du benutzt unseren Slang.
JACK: Die Leute sind also auf Telegram und es ist Freitagabend, Samstagabend, und jemand sagt: Okay, ich glaube, wir versuchen es. Sie sagen der Gruppe: Ich fahre da runter, ich versuche, das Tablet zu schnappen. Ich bin bereit.
DREW: Es ist echt intensiv.
JACK: Ja, da sind all diese Leute, sie schließen ihre Zimmertüren ab. So nach dem Motto: Komm nicht rein, Dad, ich bin heute Abend beschäftigt. Komm nicht ins Zimmer, was auch immer du tust. Und dann sagen die Eltern so: Okay, wir geben dir etwas Zeit. [LACHT].
DREW: Oh, definitiv. Ich weiß, wovon du sprichst. Das passiert; Leute sagen wirklich: Oh, ich kann jetzt nicht. Ich muss Abendessen.
JACK: Ja.
DREW: Da denkt man sich: Mann, wir haben buchstäblich zehn Minuten Zeit, um das zu tun. Da ist keine Zeit fürs Abendessen. Es ist entweder Abendessen oder 100.000 Dollar. Du entscheidest.