Der 21-jährige Manhattan-Bewohner Nicholas Truglia soll angeblich einen SIM-Swap-Angriff eingesetzt haben, um das Konto des Krypto-Investors Michael Terpin zu leeren, wodurch ihm ein Schaden von über 23.000.000 US-Dollar entstand; er selbst sieht sich zudem mit 21 Anklagepunkten wegen schwerer Verbrechen konfrontiert. Die am weitesten verbreitete Einzelheit des gesamten Falls ist nicht die massive Summe des gestohlenen Geldes, sondern ein Tweet, den der Verdächtige selbst veröffentlichte: „Stehle 24.000.000, schaffe es aber immer noch nicht, Freunde zu finden.“
SIM-Swap-Mechanismus: So kann man Krypto-Konten in wenigen Stunden leeren
Ein SIM-Swap-Angriff ist eine hochgradig zielgerichtete Form von Social Engineering. Der Angreifer täuscht oder besticht den Kundendienst eines Telekommunikationsanbieters, sodass die Mobiltelefonnummer des Opfers auf eine SIM-Karte übertragen wird, die der Angreifer kontrolliert. Sobald der Angreifer die Kontrolle über die Telefonnummer erlangt hat, kann er die „Passwort vergessen“-Funktion nutzen und mithilfe von SMS-Verifizierungscodes die Zwei-Faktor-Authentifizierung (2FA) umgehen, um anschließend auf E-Mail-, Börsen- und Krypto-Wallet-Konten zuzugreifen.
Michael Terpin erklärt, dass er am 7. Januar 2018 Opfer eines SIM-Swap-Angriffs wurde und dass über 23.000.000 US-Dollar an Krypto-Assets in seinem Konto in kürzester Zeit abgezogen wurden. Danach reichte er gegen Truglia eine zivilrechtliche Klage ein und erklärte: „Ich erhebe diese Klage als Teil meiner fortlaufenden Verfolgung der Diebstahlschäden.“
Die Selbstaufblähung des Verdächtigen: Ein vollständiges Profil, das durch eine eidesstattliche Erklärung enthüllt wird
Die von Truglias ehemaliger Partnerin Chris David eingereichte eidesstattliche Erklärung dokumentiert detailliert die Lebensgewohnheiten und den psychischen Zustand des Verdächtigen während der Zeit des Diebstahls und liefert damit zahlreiche ersthandige Informationen für den gesamten Fall.
Schlüssel-Details, die in der eidesstattlichen Erklärung von Chris David festgehalten wurden
Üppiges materielles Leben: Rolex-Uhren, eine Wohnung für 6.000 US-Dollar Miete pro Monat, 100.000 US-Dollar Bargeld, das im Kleiderschrank lagert
Er bezeichnet sich als Robin Hood: Er sagt, er „nehme den Reichen, gebe aber den Armen nicht etwas davon“
SIM-Swap-Handlungen öffentlich anpreisen: Über den Twitter-Account @erupts prahlt er damit, dass er seinen Vater einem SIM-Swap unterzogen habe
Behauptet, dass er niemals verhaftet wird: „Wie sollen sie beweisen, dass meine Geschichte falsch ist? Niemand kann mich ins Gefängnis bringen, ich bin bereit, mein Leben zu wetten.“
Weitere Verhaltensprotokolle: David erwähnt in der eidesstattlichen Erklärung außerdem, dass Truglia es gewohnt sei, Restaurantrechnungen zu umgehen
Unter allen Details ist das nachhaltigsten Eindruck hinterlassende der Tweet – „Ich habe 24.000.000 gestohlen, schaffe es aber immer noch nicht, Freunde zu finden“. Diese öffentliche Aussage mit einem starken selbstironischen Ton wurde schließlich Teil der Gerichtsunterlagen und zu einem in der Krypto-Sicherheits-Community weithin zitierten Warnbeispiel.
Ausgang des Falls und langfristige Lehren für die Krypto-Sicherheit
Truglia wurde im November 2018 in Manhattan verhaftet, anschließend in Kalifornien ausgeliefert und musste sich mit 21 Anklagepunkten wegen schwerer Verbrechen auseinandersetzen. Sein Fall ist ein repräsentatives frühes Beispiel für SIM-Swap-Angriffe gegen Inhaber Krypto-Assets mit hohem Nettovermögen und zeigt eindrücklich die zentralen Schwachstellen des 2FA-Authentifizierungsmechanismus auf Basis von Telefonnummern: Der Angreifer muss nicht in Geräte eindringen; es reicht, eine Telefonnummer zu kontrollieren, um große Mengen verknüpfter Konten zu übernehmen.
Der Fall veranlasste die Krypto-Community zu einer breiteren Diskussion über die Notwendigkeit, Authentifizierungslösungen aufzurüsten, und trieb mehr Nutzer und Organisationen dazu, von SMS-2FA wegzugehen und stattdessen Authenticator-App- oder Hardware-Sicherheits-Keys einzusetzen.
Häufige Fragen
Was ist ein SIM-Swap-Angriff, und warum sind Krypto-Assets besonders anfällig?
Ein SIM-Swap-Angriff ist eine Social-Engineering-Methode, bei der der Angreifer den Telekommunikationsanbieter dazu bringt, die Telefonnummer des Opfers auf seine eigene SIM-Karte zu übertragen. Da die Reset-Prozesse für Konten bei den meisten Krypto-Börsen auf SMS-Verifizierungscodes angewiesen sind, kann man nach Erhalt der Kontrolle über die Nummer 2FA vollständig umgehen, sodass Krypto-Assets zu einem hochgradig verletzlichen Ziel werden.
Welche Auswirkungen hatte der Fall von Michael Terpin auf die Krypto-Sicherheit?
Terpins Klage gegen Truglia ist eines der repräsentativsten SIM-Swap-Beispiele in der Geschichte der Krypto-Sicherheit. Sie führte zu einer breiten Diskussion über die Verantwortlichkeit von Telekommunikationsanbietern und veranlasste die Krypto-Community, sich noch aktiver dafür einzusetzen, SMS-2FA aufzugeben und auf sicherere Hardware-Authentifizierungslösungen umzusteigen.
Wie kann man SIM-Swap-Angriffe effektiv abwehren?
Der Kern der Absicherung umfasst: SMS-2FA durch Hardware-Sicherheits-Keys oder eine Authenticator-App ersetzen; beim Telekommunikationsanbieter SIM-Lock oder Account-PIN-Codes einrichten lassen; wichtige Konten mit Krypto-Assets nicht direkt an Telefonnummern koppeln; und alle Konten regelmäßig hinsichtlich ihrer Authentifizierungsmethoden überprüfen, um das Asset-Exposure zu verringern, sobald eine Telefonnummer abgezogen wird.
