Europäische Ermittler haben die Infrastruktur des Kriminellennetzwerks SIMCARTEL demontiert und damit eine der größten bekannten SIM-Farm-Operationen für Telekommunikationsbetrug stillgelegt. Laut Europol umfasste die Plattform etwa 1.200 SIM-Boxen und 40.000 SIM-Karten und wurde weltweit für Phishing, Erpressung, Investmentbetrug und die Erstellung synthetischer Konten missbraucht.
Umfang der Operation und abgeschaltete Dienste
Die koordinierte Maßnahme unter Führung von Europol, mit Unterstützung der Shadowserver Foundation sowie Behörden aus Österreich, Estland, Finnland und Lettland, führte zur Abschaltung der Dienste gogetsms[.]com und apisim[.]com. Diese Plattformen vermieteten reale, auf Privatpersonen registrierte Telefonnummern aus über 80 Ländern und ermöglichten so die anonyme Registrierung und Verifizierung falscher Accounts.
Über die SIM-Farmen wurden nach Ermittlerangaben mehr als 49 Millionen betrügerische Accounts erzeugt. Dokumentiert sind mindestens 1.700 Fälle in Österreich und 1.500 in Lettland; insgesamt werden über 3.200 Vorfälle erfasst. Der direkte Schaden liegt bei mindestens 4,5 Millionen Euro.
Was sind SIM-Farmen und SIM-Boxen?
Unter einer SIM-Farm versteht man Bündel von GSM-Gateways (SIM-Boxen), in die Dutzende bis Hunderte SIM-Karten eingesetzt werden. Diese Geräte automatisieren Anrufe und SMS in großem Umfang. Ziel ist der Umgehung von Netzrestriktionen und die Anonymisierung von Verkehrsströmen, was Massenaussendungen von Phishing-SMS, das Anlegen kurzlebiger Accounts mit „sauberen“ Nummern und das Verschleiern der Herkunft von Kommunikation erleichtert.
Durch die Vermietung realer Rufnummern werden klassische KYC- und SMS-OTP-Kontrollen unterlaufen. Plattformen sehen formal legitime Nummern, während die Akteure dahinter verborgen bleiben – ein Nährboden für Kontoerstellungen, Bonusmissbrauch und Social Engineering.
Modus Operandi: Phishing, Investmentbetrug und Amtsanmaßung
Die SIMCARTEL-Infrastruktur diente laut Europol als Enabler für telekommunikationsgestützte Cybercrime-Kampagnen: Phishing und Smishing, Erpressung, Investment- und Marketplace-Betrug, WhatsApp-Geldforderungen, gefälschte Shops und Bankseiten sowie die Imitation von Polizeibehörden. Lokale Rufnummern steigern die Glaubwürdigkeit und erhöhen nachweislich die Konversionsraten solcher Angriffe.
„Die kriminelle Infrastruktur war technisch komplex und weltweit verfügbar“, so Europol. Im Zuge der Maßnahmen wurden fünf lettische Staatsbürger sowie zwei weitere Verdächtige festgenommen und Vermögenswerte gesichert.
Warum SMS-OTP als alleiniger Faktor nicht mehr ausreicht
Die massenhafte Nummernvermietung zeigt Grenzen von SMS-OTP und einfachen Telefonverifikationen. Angreifer nutzen Wegwerf- oder gemietete Nummern, um Identitätsprüfungen zu umgehen, Accounts zu skalieren und Anti-Abuse-Kontrollen zu überlasten. Fachgremien wie NIST SP 800-63 raten seit Jahren davon ab, SMS als alleinige starke Authentifizierung zu betrachten, während ENISA Smishing als wachsendes Bedrohungsfeld einstuft. Ergänzend warnen GSMA-Analysen, dass SIM-Boxen Carrier-Kontrollen systematisch aushebeln und internationale Gebührenmodelle missbrauchen.
Sicherheitsmaßnahmen für Unternehmen
– Von SMS-OTP zu starker MFA migrieren: Hardware-Keys (FIDO2), Passkeys, TOTP oder signierte Push-Bestätigungen.
– Risikobasierte Sitzungsbewertung etablieren: Device Fingerprinting, Verhaltensanalytik, IP-/ASN-Reputation, Emulator- und Bot-Erkennung.
– Telefonnummern-Reputation nutzen: Hochrisiko-Präfixe/Range-Listen, Limits für Verifikationen mit virtuellen/Einwegnummern.
– Traffic-Trust-Policies und Telemetrie: Anomalien in Registrierungen, SMS-Zustellfehlern und OTP-Anfragen überwachen; Marketplace- und P2P-Anti-Fraud schärfen.
– Zusammenarbeit mit Telcos und Anti-Fraud-Anbietern: Erkennung von SIM-Boxen via IMSI/IMEI-Switching, Geografie-Anomalien und Traffic-Pattern.
Empfehlungen für Verbraucher
Misstrauen Sie SMS und Anrufen – auch bei „lokaler“ Nummer. Prüfen Sie Domains, vermeiden Sie Kurzlinks, teilen Sie keine OTP-Codes, installieren Sie Banking-Apps ausschließlich aus offiziellen Stores und aktivieren Sie MFA mit App-basierten Codes oder Passkeys.
Die Zerschlagung von SIMCARTEL unterstreicht, dass Resilienz nur kooperativ gelingt: Strafverfolgung, Carrier und Plattformen müssen synchron agieren. Unternehmen sollten SMS nicht länger als alleinigen Faktor einsetzen, risikoorientierte Kontrollen ausrollen und Anti-Fraud-Profile kontinuierlich aktualisieren. Wer jetzt auf starke MFA und Telemetrie setzt, senkt die Erfolgsquote von Smishing und Accountmissbrauch – und reduziert direkte finanzielle Schäden messbar.
