Der Fall von Torsten George zeigt, wie weitreichend SIM-Swapping-Angriffe inzwischen reichen können. Nach seiner Schilderung verfügte der Anrufer nicht nur über genug Kontowissen, um glaubwürdig als AT&T-Mitarbeiter aufzutreten, sondern hatte bereits zuvor einen SIM-Tausch veranlasst. Dadurch konnte der Täter OTPs aus Georges SMS mitlesen. Erst der zusätzliche Passcode verhinderte zunächst den vollständigen Kontozugriff.

George sagte Dark Reading, der Angreifer habe in dem kurzen Zeitfenster zwar keinen dauerhaften Zugang behalten, aber den Passcode faktisch von einer zusätzlichen Sicherheitsstufe zu einer Standardsicherung herabgestuft. Als George sich parallel selbst in sein Konto einloggte und die nötigen Identitätsprüfungen durchlief, verfügte der Täter nach seiner Darstellung bereits über die benötigten Informationen. George wurde aus seinem Konto ausgesperrt, reagierte aber schnell, setzte das Passwort zurück, erhielt einen OTP und meldete sich erneut an. Danach änderte er sofort das Kontopasswort.

Mehrere Warnzeichen fielen ihm während des Angriffs auf. So sprach der Anrufer abfällig über AT&T und behauptete, das Unternehmen verliere Kunden. Nachdem George wieder in sein Konto gelangt war, erhielt er zudem eine E-Mail mit dem Hinweis, dass seine Mobilnummer nicht mehr mit seiner Benutzerkennung verknüpft sei. Später stellte er fest, dass seine Telefonnummer gekündigt worden war.

Wie genau die Rufnummer gelöscht wurde, kann George nach eigener Aussage nicht erklären. Für ihn deutet das darauf hin, dass der Angreifer über sein persönliches Konto hinaus Zugangsmöglichkeiten bei AT&T hatte. George kritisierte, die Täter hätten sich erfolgreich als er ausgeben können, was aus seiner Sicht darauf hindeute, dass keine Geolokalisierungsprüfung erfolgt sei und auch kein OTP versendet worden sei. Für Transaktionen mit hohem Risiko sei ein mehrschichtiger Ansatz nötig.

Laut Dark Reading reagierte AT&T auf eine Anfrage mit dem Hinweis auf Wireless Account Lock, eine kostenlose Funktion, die mehrere Arten von Kontoänderungen blockiert, darunter SIM-Swaps und Portierungen. Das Unternehmen erklärte außerdem: „Wenn Ihr Telefon die Verbindung verliert und Sie glauben, dass es sich um einen SIM-Tausch handeln könnte, melden Sie uns das, indem Sie eines unserer Geschäfte aufsuchen oder den Kundendienst anrufen.“ George weist allerdings darauf hin, dass Wireless Account Lock zwar 2025 eingeführt wurde, Nutzer die Funktion aber selbst aktivieren müssen, da sie nicht standardmäßig eingeschaltet ist.

Der Vorfall steht im Kontext breiterer Entwicklungen. Zwar sind die Gesamtzahlen beim SIM-Swapping zuletzt gesunken, doch das FBI registrierte bei Nutzern ab 60 Jahren einen Anstieg der Beschwerden von 174 im Jahr 2023 auf 222 im Jahr 2025. Die Verluste aus SIM-Swapping sanken zwischen 2023 und 2024, stiegen 2025 jedoch wieder auf 6.741.791 US-Dollar. Cifas meldete für 2025 „einen deutlichen Anstieg unautorisierter SIM-Tausche um 38 Prozent“, getrieben durch die Verfügbarkeit gestohlener personenbezogener Daten und zunehmend automatisierte Angriffsmethoden. Im Jahresbericht warnte die britische Betrugspräventionsstelle zudem, Identitätsbetrug bleibe die häufigste Bedrohung, während Kriminelle verstärkt auf Kontoübernahmen setzten und besonders den Telekommunikationssektor mit Mobilfunkprodukten ins Visier nähmen.

Auch Behörden und Sicherheitsorganisationen haben diese Taktik bereits hervorgehoben. Eine gemeinsame Warnung der Cybersicherheitsbehörden aus den USA, Großbritannien, Australien und Kanada aus dem vergangenen Jahr erklärte, die Gruppe Scattered Spider habe in ihren Kampagnen SIM-Swaps eingesetzt, um „OTPs, Zugangsdaten und Antworten auf Sicherheitsfragen zu stehlen“. MITRE zufolge nutzte die Gruppe SIM-Swapping zudem, um ihre Persistenz in Netzen von Mobilfunkanbietern aufrechtzuerhalten. George sagte außerdem, auch die Ransomware-Gruppe Shinyhunters arbeite nach einem ähnlichen Muster und setze vor allem auf Imitation als primäre Angriffsmethode.