← Alle Beispiele Vollständiges Beispiel — Forensischer Bericht + Strafanzeige

SIM Swap und Telefonbetrug

Fiktiver Fall zu Demonstrationszwecken. Die Daten sind erfunden, zeigen aber das reale Detailniveau, das wir liefern. SIM Swap Angriff zum Umgehen von 2FA und Entleerung von Exchange-Konten.

Forensischer Bericht

8 Seiten • On-Chain Analyse + OSINT + Graph

Strafanzeige

10 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft

Dokument 1 — Forensischer Ermittlungsbericht

🔎

Forensischer Ermittlungsbericht

SpurKI_Report_Forense.pdf • 8 Seiten • Klassifizierung TLP:AMBER

Risiko 91/100

TRC-2026-6847 Blockchain: Bitcoin + Ethereum Betrag: €34.500 9 Hops erkannt 2 Exchange KYC

SIM Swap Angriff mit Entleerung der Coinbase- und Binance-Konten

Koordinierter Angriff: Social Engineering beim Telefonanbieter, Umgehung von 2FA SMS, Passwort-Reset bei Exchange, vollständige Abhebung in 23 Minuten.

⚙ Angewandte Untersuchungsmethodik

1. Forensische Erfassung: Analyse der Exchange-Logs (IP, Geräte-Fingerprint, Zeiten) • 2. Telekom-Analyse: Rekonstruktion der betrügerischen SIM-Portierung • 3. On-Chain Tracking: Verfolgung der abgehobenen BTC und ETH • 4. OSINT: Identifikation von in Datenlecks exponierten Daten • 5. Zeitliche Korrelation: Zeitliche Abgleichung von SIM Swap / Login / Abhebung

Detaillierter Zeitverlauf der Ereignisse

10. März 2026 — 02:15 Uhr

Der Angreifer kontaktiert das Callcenter von Vodafone Italia und gibt sich als Opfer aus. Er verwendet persönliche Daten, die aus einem Datenleck stammen (Name, Steuernummer, letzte Zahlung). Er fordert die Portierung der SIM auf ein neues Gerät an.

10. März 2026 — 02:22 Uhr

Die SIM des Opfers wird deaktiviert. Die neue SIM (im Besitz des Angreifers) wird aktiv. Das Opfer schläft und bemerkt den Signalverlust nicht.

10. März 2026 — 02:25 Uhr

Der Angreifer startet den Passwort-Reset bei Coinbase unter Verwendung der Telefonnummer. Er erhält den SMS-Verifizierungscode auf die geklonte SIM.

10. März 2026 — 02:28 Uhr

Login bei Coinbase mit neuem Passwort. Der Angreifer deaktiviert 2FA und startet die Abhebung: 0,45 BTC (ca. 22.500 EUR) an Wallet bc1q7x...m3p9. TXID: a7b2c...4d5e

10. März 2026 — 02:32 Uhr

Der Angreifer wiederholt die Prozedur bei Binance. Passwort-Reset via SMS, Login, Abhebung: 4,2 ETH (ca. 12.000 EUR) an Wallet 0xAtk5...2nF8. TXID: 0x8f3a...1b7c

10. März 2026 — 02:38 Uhr

Gesamtdauer des Angriffs: 23 Minuten vom SIM Swap bis zum Abschluss der Abhebungen. Der Angreifer stellt das ursprüngliche Passwort bei beiden Exchanges wieder her, um die Entdeckung zu verzögern.

10. März 2026 — 07:45 Uhr

Das Opfer wacht auf und bemerkt den fehlenden Telefonempfang. Kontaktiert Vodafone, das die nicht autorisierte Portierung bestätigt.

10. März 2026 — 08:00 Uhr

Das Opfer meldet sich bei Coinbase und Binance: Kontostände sind null. Kontaktiert sofort den Support beider Exchanges.

10. März 2026 — 09:30 Uhr

Das Opfer startet die Meldung bei SpurKI und liefert: TXIDs der Abhebungen, Exchange-Login-Logs, Vodafone-Dokumentation zur nicht autorisierten Portierung.

10. März 2026 — 09:31 Uhr

SpurKI startet die Analyse. Dauer: 78 Sekunden. Ergebnis: 9 Hops auf 2 Blockchains verfolgt, 2 Cash-Out Exchanges identifiziert.

Erfasste und zertifizierte digitale Beweise

📱

Operator-Logs

Nicht autorisierte SIM-Portierung
Vodafone-Dokumentation

🔒

Exchange-Logs

IP + Geräte-Fingerprint
Coinbase + Binance

⛓

Blockchain-Transaktionen

2 TXID Abhebungen
+ 9 Hops verfolgt

💻

Datenleck

Exponierte persönliche Daten
HaveIBeenPwned Abgleich

🕑

Angriffs-Timeline

Gesamtdauer 23 Minuten
Zeitliche Korrelation

On-Chain Analyse: Vollständiger Geldfluss

Vollständige Rekonstruktion des Flusses — 9 Hops auf Bitcoin- und Ethereum-Blockchain

▋ GELDFLUSS-TRACKING — PHASE 1: UNAUTORISIERTE ABHEBUNGEN

[01] Coinbase (Opfer) → bc1q7x...m3p9 (Angreifer-Wallet) : 0,45 BTC // 10/03 02:28 UTC

[02] Binance (Opfer) → 0xAtk5...2nF8 (Angreifer-Wallet) : 4,2 ETH // 10/03 02:32 UTC

▋ PHASE 2: KONVERSION UND AUFTEILUNG

[03] bc1q7x...m3p9 → bc1qy8...k4n2 (BTC Zwischenwallet) : 0,45 BTC // 02:45 UTC

[04] 0xAtk5...2nF8 → 0xSwp2...7gH4 (ETH→USDT Swap) : 4,2 ETH → 12.000 USDT // 02:40 UTC

[05-06] bc1qy8...k4n2 teilt in 2 Outputs auf : 0,25 + 0,20 BTC // 03:00 UTC

▋ PHASE 3: CASH-OUT

[07] bc1q output 1 → Kraken (BTC Einzahlung) [CASH-OUT • KYC] : 0,25 BTC

[08] bc1q output 2 → Bybit (BTC Einzahlung) [CASH-OUT • KYC] : 0,20 BTC

[09] 0xSwp2...7gH4 → Bybit (USDT Einzahlung) [CASH-OUT • KYC] : 12.000 USDT

✓ 100% der Gelder (34.500 EUR) bis zu 2 Exchanges mit KYC (Kraken + Bybit) verfolgt
✓ Angriff in 23 Minuten abgeschlossen (SIM Swap → Cash-Out)
✓ Opferdaten in Datenleck 2024 exponiert (E-Mail + Telefon + Steuernummer)
✓ Muster: SIM Swap + 2FA Umgehung + Multi-Exchange Entleerung

Exchange Cash-Out

Kraken, Bybit

Verfolgte Gelder

100%

34.500 EUR lokalisiert

Analysierte Transaktionen

BTC + Ethereum

Risiko-Score

91/100

Kritisches Risiko

Angriffszeit

23 Min.

SIM Swap → Abhebung

OSINT Intelligence — Identifizierte Entitäten (6)

Entität	Typ	Ermittlungsdetails	Risiko
`bc1q7x...m3p9`	Angreifer BTC Wallet	Erstellt am 09.03.2026 (Tag davor). Hat Gelder von 3 SIM Swap Opfern innerhalb von 48h erhalten. Verbunden mit Cluster von 12 Wallets.	KRITISCH
`0xAtk5...2nF8`	Angreifer ETH Wallet	Erstellt am 09.03.2026. Für einzelne Operation genutzt und dann aufgegeben. Wegwerf-Muster.	KRITISCH
`Vodafone Italia`	Telefonanbieter	SIM-Portierung am 10.03 um 02:22 ohne angemessene Verifikation durchgeführt. Sicherheitsprozedur nicht eingehalten.	HOCH
`Datenleck 2024`	Quelle persönliche Daten	E-Mail und Telefon des Opfers in Datenleck einer E-Commerce Plattform (2024). Steuernummer durch Abgleich mit anderen Lecks erhalten.	HOCH
`Kraken (BTC)`	Exchange (Cash-Out)	0,25 BTC eingezahlt. KYC Account. Kooperation: legal@kraken.com	HANDLUNGSFÄHIG
`Bybit (BTC+USDT)`	Exchange (Cash-Out)	0,20 BTC + 12.000 USDT eingezahlt. KYC Account. Kooperation: legal@bybit.com	HANDLUNGSFÄHIG

Compliance Kontakte für Einfrierung/Sperrung

Kraken: legal@kraken.com
• 0,25 BTC am 10.03 eingezahlt
• Antwortzeit: 5-7 Tage

Bybit: legal@bybit.com
• 0,20 BTC + 12.000 USDT eingezahlt
• Antwortzeit: 7-10 Tage

Vodafone Italia: Rechtsabteilung
• Für Portierungs-Logs + Anrufaufzeichnung

Dringender Aktionsplan

⚠ INNERHALB 24H:
1. Anzeige beim Landeskriminalamt
2. Einfrieren der Gelder bei Kraken + Bybit
3. SIM-Sperrung und Wiederherstellung der Originalnummer

INNERHALB 48H:
4. Anforderung der Portierungs-Logs bei Vodafone
5. Anforderung vollständiger Login-Logs bei Coinbase/Binance

INNERHALB 7 TAGEN:
6. Meldung an die Financial Intelligence Unit (FIU)
7. Anforderung der KYC-Daten der Exchanges
8. Überprüfung des Datenlecks und Verbindung zu weiteren Opfern

📈 Grafische Zusammenfassung des Flusses (im PDF enthalten)

Der PDF-Bericht enthält einen interaktiven hochauflösenden Graphen, der den gesamten Geldfluss mit farblich kodierten Knoten nach Typ, Kanten mit Betrag und Zeitstempel, Hervorhebung der Cash-Out-Punkte mit KYC-Flag sowie QR-Codes zur unabhängigen Verifikation jeder TXID darstellt.

Erstellt am: 10. März 2026 09:31 UTC Tracking-Zuverlässigkeit: 100% Klassifizierung: TLP:AMBER Analyst: SpurKI Engine v3.1

Dokument 2 — Strafanzeige

⚖

Strafanzeige

SpurKI_Strafanzeige_Strafanzeige.pdf • 10 Seiten • Bereit zur Einreichung bei der Staatsanwaltschaft

Kopfzeile

AN DEN HOCHWÜRDIGEN STAATSANWALT
beim zuständigen Gericht Torino

STRAFANZEIGE
mit Antrag auf einstweilige Sicherstellung

Abschnitt A — Angaben des/der Anzeigeerstatter/in

Der/Die Unterzeichnende Giuseppe Neri, geboren in Torino am 12.06.1982, wohnhaft in Corso Francia 28, 10138 Torino (TO), Steuernummer NREGPP82H12L219K,

REICHT HIERMIT STRAFANZEIGE EIN

und beantragt die Bestrafung der Verantwortlichen für die nachfolgend aufgeführten Straftaten sowie die im Folgenden genannten vorsorglichen und ermittlungsbezogenen Maßnahmen.

Abschnitt B — Sachverhalt

B.1 — SIM Swap Angriff

Am 10. März 2026 gegen 02:15 Uhr kontaktierten unbekannte Täter das Callcenter des Telefonanbieters Vodafone Italia und gaben sich als der/die Anzeigeerstatter/in aus, indem sie persönliche Daten (Name, Nachname, Steuernummer, letzte Rechnungszahlung) verwendeten, die vermutlich aus einem Datenleck stammen. Die Täter forderten und erhielten die Portierung der SIM des/der Anzeigeerstatter/in auf ein neues Gerät, wodurch die Original-SIM um 02:22 Uhr deaktiviert wurde.

B.2 — Umgehung von 2FA und Zugriff auf Exchanges

Zwischen 02:25 und 02:32 Uhr nutzten die Täter die Telefonnummer des/der Anzeigeerstatter/in (nun unter ihrer Kontrolle), um: (i) das Passwort des Coinbase-Kontos zurückzusetzen; (ii) die SMS-Verifizierungscodes zu empfangen; (iii) sich einzuloggen und 0,45 BTC (22.500 EUR) abzuheben; (iv) die Prozedur bei Binance zu wiederholen und 4,2 ETH (12.000 EUR) abzuheben. Gesamtdauer des Angriffs: 23 Minuten.

B.3 — Entdeckung

Der/Die Anzeigeerstatter/in entdeckte den Angriff am selben Tag um 07:45 Uhr, als der fehlende Telefonempfang bemerkt wurde. Die nicht autorisierte Portierung wurde von Vodafone bestätigt. Die Kontostände bei Coinbase und Binance waren auf null.

Abschnitt C — Ergebnisse der technischen Untersuchung

Die forensische Analyse (Bericht TRC-2026-6847) ergab:

Die Gelder (0,45 BTC + 4,2 ETH = 34.500 EUR) wurden zu 100% bis zu 2 Exchanges mit KYC (Kraken und Bybit) verfolgt;
Das BTC-Wallet des Angreifers erhielt Gelder von 3 SIM Swap Opfern innerhalb von 48 Stunden;
Die persönlichen Daten des Opfers sind in einem Datenleck von 2024 exponiert;
Der Angriff folgt einem Muster, das mit einer auf SIM Swap spezialisierten Gruppe identisch ist.

Abschnitt D — Rechtliche Einordnung

Die oben dargestellten Tatsachen erfüllen folgende Straftatbestände:

§ 202a StGB — Unbefugter Zugriff auf ein Datenverarbeitungssystem (Exchange);
§ 202b StGB — Unbefugter Besitz von Zugangsdaten;
§ 263 StGB — Computerbetrug;
§ 164 StGB — Urkundenfälschung durch Täuschung (Vortäuschung der Identität beim Anbieter);
§ 261 StGB — Geldwäsche;
§ 129 StGB — Bildung einer kriminellen Vereinigung (organisierte Gruppe).

Abschnitt E — Anträge

Vor dem Hintergrund des Vorstehenden beantragt der/die Anzeigeerstatter/in

FOLGENDES

Einstweilige Sicherstellung der Gelder bei Kraken (0,25 BTC) und Bybit (0,20 BTC + 12.000 USDT);
Erfassung der Vodafone-Logs (Anrufaufzeichnung, IP, Gerät);
Erfassung der Coinbase- und Binance-Logs (IP-Login, Geräte-Fingerprint);
Anforderung der KYC-Daten der Exchanges;
Verbindung mit weiteren 3 SIM Swap Opfern derselben Gruppe;
Meldung an die Financial Intelligence Unit (FIU).

Abschnitt F — Anlagen

Doc. 1: Forensischer Ermittlungsbericht SpurKI (TRC-2026-6847)
Doc. 2: Vodafone-Dokumentation zur nicht autorisierten Portierung
Doc. 3: Coinbase Login-Logs (IP, Zeit, Gerät)
Doc. 4: Binance Login-Logs (IP, Zeit, Gerät)
Doc. 5: TXID der Abhebungen (BTC + ETH)
Doc. 6: HaveIBeenPwned Bericht (Datenleck)
Doc. 7: Identitätsnachweis

Abschließende Erklärung und Unterschrift

Der/Die Anzeigeerstatter/in erklärt, sich der strafrechtlichen Verantwortung für falsche Angaben gemäß § 153 StGB bewusst zu sein und bestätigt die Richtigkeit der obigen Angaben.

Der/Die Anzeigeerstatter/in erklärt außerdem, im Falle einer Einstellung des Verfahrens gemäß § 170 Abs. 2 StPO informiert werden zu wollen.

Torino, den 10. März 2026

In Treu und Glauben,

Der/Die Anzeigende
Giuseppe Neri
(Unterschrift)

Automatisch erstellt von SpurKI AI • Rechtsmodell v2.4 Bereit zur Einreichung bei der Staatsanwaltschaft

Was Sie mit SpurKI erhalten

Das vollständige Paket, das wir liefern

📄 Forensischer Bericht (PDF, 8 Seiten)

Vollständige Rekonstruktion des SIM Swap Angriffs (Timeline 23 Min.)
100% Verfolgung der Gelder auf 2 Blockchains
Identifikation von 2 Cash-Out Exchanges mit KYC
Analyse von Datenlecks und Quelle der persönlichen Daten
Verbindung zu 3 Opfern derselben Gruppe
Compliance-Kontakte für Einfrierung
Dringender Maßnahmenplan

⚖ Strafanzeige (PDF, 10 Seiten)

Formelle Kopfzeile an die Staatsanwaltschaft
Technische Rekonstruktion des SIM Swap Angriffs
Details der unautorisierten Abhebungen
Ergebnisse der forensischen Untersuchung
Rechtliche Einordnung (6 Straftaten)
Anträge auf Sicherstellung + Log-Erfassung
Liste von 7 Anlagen

Erstellungszeit: ~90 Sekunden nach Meldung • Format: Druckfertige PDF • Bereit zur Einreichung: Vollständige Dokumente zur Übergabe an Behörden • Updates: Bei neuen Erkenntnissen kann der Bericht kostenlos neu generiert werden

Wurden Sie Opfer eines ähnlichen Betrugs?

Kostenlose Meldung starten: In wenigen Minuten erhalten Sie den forensischen Bericht und die Strafanzeige, bereit zur Einreichung bei den Behörden.

Meldung starten →

Keine Verpflichtung. Sie zahlen nur, wenn Sie die Dokumente herunterladen.