KYC in der Telekommunikation in Brasilien: So stoppen Sie Betrug (SIM-Swap & mehr)

Key takeaways
 

SIM-Swap und „Mão Fantasma“ sind heute die wichtigsten Vektoren für mobilen Betrug in Brasilien; als erstes Glied der Kette leiden Telkos unter Verlusten, Sanktionen und Vertrauensverlust, wenn Nummern und kritische Abläufe nicht geschützt werden.

Traditionelle Verifizierung scheitert wegen der Abhängigkeit von offengelegten statischen Daten, OTP per SMS über kompromittierte Kanäle und anfälligen manuellen Prozessen; Rufnummernmitnahme und SIM-Ersatz/Duplikat sind die kritischsten Punkte und erfordern starke Identität, Leitungs-/Nummernsignale, Bestätigung über Alternativkanal sowie Sperrfristen.

Regulierung: Anatel verlangt die SMS-Bestätigung bei der Rufnummernmitnahme (mit Antwortfenster); das aktualisierte RGST und RGC stärken Transparenz und Nachvollziehbarkeit. SMS ist Pflicht, aber als starke Authentifizierung in Hochrisikoszenarien unzureichend.

Wirksame Strategie & Rolle von Didit: Echtzeit-KYC (Ausweis, Selfie & Liveness), Biometrie und MFA in hochwirksamen Flows, Entscheidungen auf Basis von Nummernsignalen; eine automatisierte, flexible Plattform senkt die Abhängigkeit von manueller Prüfung, verbessert die Erkennung und erleichtert Integration — bei klaren Preisen.

Brasilien erlebt einen Höhepunkt digitaler Kriminalität, in dem die Mobilfunklinie das zentrale Einfallstor ist: SIM-Swap ermöglicht Angreifern, die Nummer zu übernehmen, OTPs (One-Time-Passwords) per SMS abzufangen und in Bankkonten sowie andere sensible Finanz-Apps einzudringen. Das Ergebnis? Bankverluste von R$ 10,1 Milliarden im Jahr 2024, so die FEBRABAN (Federação Brasileira de Bancos).

Betroffen sind nicht nur Finanzorganisationen. Telekommunikationsunternehmen — oft das erste Glied der Kette — erleiden durch Identitätsbetrug ebenfalls direkte Verluste, regulatorische Sanktionen und Erosion des Kundenvertrauens.

Das Modus Operandi der Betrüger ist klar: Durch Social Engineering nutzen sie schwache Prozesse der Betreiber aus und bestehen Prüfungen mit im Darknet geleakten (oder gestohlenen) Daten. Nicht die einzige Bedrohung: Mão Fantasma entwickelt sich zur weiteren Gefahr. Dabei wird das Opfer zur Installation einer Fernzugriffs-App verleitet; anschließend übernehmen Kriminelle unbemerkt die Kontrolle über das Smartphone und steuern betrügerische Banktransaktionen. Banken und FEBRABAN raten, keine Apps auf telefonische Anweisung zu installieren und Dritten keinen Remote-Zugriff zu gewähren.

Was ist SIM-Swap — und warum nimmt es in Brasilien zu?

SIM-Swap zählt zu den größten Bedrohungen für die Branche in Brasilien. Bei dieser Betrugsart überzeugt ein Krimineller den Betreiber, eine neue SIM mit der Nummer des Opfers auszustellen — eine Kombination aus Social Engineering und geleakten Darknet-Daten.

Sobald die Nummer unter Kontrolle ist, fängt der Angreifer die per SMS gesendeten OTPs des rechtmäßigen Kunden (für Logins oder Kontowiederherstellung) ab und erzeugt so einen Kontenraub (Account Takeover).

SIM-Swap ist ein wachsendes Problem mit branchenweit berichteten, signifikanten Erfolgsraten — entsprechend oberste Priorität für Fraud- und Security-Teams.

Warum scheitert klassische Identitätsprüfung bei Telkos?

Brasilien steht einem der aggressivsten Cybercrime-Umfelder der Welt gegenüber. Alle zwei Sekunden findet ein Identitätsbetrugsversuch statt — häufig ohne rechtzeitige Erkennung, Abwehr und Eindämmung durch Unternehmen.

Offizielle Zahlen zu SIM-Swap-Vorfällen fehlen, Schätzungen gehen jedoch von Zehntausenden betroffenen Nutzern pro Jahr aus.

Der Fokus muss daher auf die Schwächen der aktuellen Tools und Prozesse gelegt werden. In Brasilien verbreitete Lösungen haben sich als unzureichend erwiesen — wegen statischer Prüfungen, manueller Reviews und starrer Abläufe. Und es sind nicht nur die Tools: Auch die Ansätze greifen zu kurz.

Offengelegte Daten und Schwachstellen bei Betreibern

Die massenhafte Offenlegung von Daten im Darknet bedeutet: Mit statischen Daten (z. B. CPF oder Geburtsdatum) kann ein Angreifer Basiskontrollen überwinden. Sobald diese Informationen öffentlich sind, taugt die Verifizierung über „Wissensfragen“ nicht mehr als Identitätsnachweis.

Zudem sind viele interne Telko-Prozesse weiterhin mit menschlichen Prüfungen überladen (Filiale oder Callcenter) und weit entfernt von einer Echtzeit-Risikosignalanalyse.

Die Folge ist ein Ökosystem, in dem:

• der legitime Kunde Reibung erlebt, die den Angreifer nicht zwingend stoppt;
• Kriminelle geleakte Informationen nutzen, um SIMs zu duplizieren, Konten wiederherzustellen oder Portierungen zu erzwingen;
• Entscheidungen auf schwachen Beweisen (statische Daten) statt auf starken Beweisen (Biometrie mit Liveness, Leitungs-/Nummernsignale, Geräte-Reputation) beruhen.

Leaks & Portierung: der blinde Fleck

Die Rufnummernmitnahme zwischen Betreibern sowie SIM-Ersatz/Duplikat bündeln das höchste operative Risiko. Werden diese Ereignisse überwunden, übernimmt der Angreifer die Nummer — und damit alle daran gekoppelten Authentifizierungen.

Zur Abwehr sollten Betreiber Standards mit hohem Vertrauensniveau einführen:

• Starke Identität bei der Antragstellung (Dokument + Selfie + Liveness) — in App/Web ebenso wie im Callcenter oder Shop.
• Signale der Nummer, bevor der Auth-Kanal festgelegt wird (Leitungstyp, SIM-Alter, Hinweise auf jüngsten Swap).
• Bestätigung über einen Alternativkanal (Push oder verifizierte E-Mail) plus Sperrfristen für sensible Änderungen.

Was schreibt die brasilianische Regulierung vor? (Praxis-Kurzfassung)

Anatel (Agência Nacional de Telecomunicações) verlangt, dass die Rufnummernmitnahme per SMS an die aktuelle Linie des Nutzers bestätigt wird. Der Inhaber hat bis zu 6 Stunden Zeit zur Antwort; bei keiner Antwort oder „Nein“ wird der Antrag automatisch abgelehnt. Diese Maßnahmen ersetzen keine starke Authentifizierung in Hochrisikoszenarien, bilden aber das regulatorische Minimum für alle Telkos.

Außerdem hat die Behörde das Regulamento Geral dos Serviços de Telecomunicações (RGST) verabschiedet, das die Regeln der Branche konsolidiert und aktualisiert.

Zudem wurde das Regulamento Geral de Direitos do Consumidor (RGC) im September 2025 aktualisiert und konsolidiert — mit stärkeren Pflichten zu Transparenz, Qualität und Reversibilität in der Nutzerbeziehung. Das beeinflusst Information und Durchführung von Portierungen, SIM-Ersatz sowie Datenänderungen und verbessert die Nachvollziehbarkeit bei Streitfällen.

KYC-Strategie für Betreiber in Brasilien (2025)

Mit den richtigen Tools und Prozessen können Betreiber Identitätsbetrug deutlich reduzieren.

• Echtzeit-KYC im Onboarding. Dokumentenprüfung, Face-Match 1:1 und Liveness Detection, um Neuanmeldungen mit synthetischen oder übernommenen Identitäten zu verhindern.
• Gesichtsbiometrie & MFA bei SIM-Ersatz und Portierungen. Biometrie als Teil der MFA in kritischen Prozessen erhöht die Hürden gegen Social Engineering.
• Entscheidungen nach Risikosignalen. Vor dem Versand eines SMS-OTP Risiko bewerten: Leitungstyp, SIM-Alter, Hinweise auf jüngsten Swap. Bei hohem Risiko alternative Route (Biometrie, Push/verifizierte E-Mail); bei niedrigem Risiko normalen Flow fortführen.
• KI & Verhaltensanalyse. Zeiten, Orte und Taktung von Anfragen helfen, Anomalien zu erkennen und proaktiv zu blockieren.

Wie Didit Telkos hilft, Identitätsbetrug zu senken

Brasilien kämpft mit außergewöhnlich hohem Betrugsvolumen; für Betreiber hat die Reduktion von Verlusten durch SIM-Swap, betrügerische Portierung und sensible Datenänderungen Priorität #1. Didit ist eine Identitäts-Verifizierungsplattform, die genau dafür entwickelt wurde.

Was bedeutet das operativ?

• Weniger manuelle Aufsicht. Didit senkt die Abhängigkeit von manuellen Reviews und verbessert die Erkennung in Hochvolumen-Szenarien — mit Kontrolle und Audit-Trail.
• Globale Fraud-Intelligenz. Auf Basis tausender weltweiter Fälle werden Muster erkannt und entsprechend gehandelt.
• Anbindung an staatliche Quellen. Integration öffentlicher Datenbanken für notwendige Anti-Fraud-Prüfungen.
• End-to-End-Automatisierung. Vermeidet manuelle Engpässe und beschleunigt Onboarding/Servicing ohne Kontrollverlust.
• Flexible, anpassbare Workflows. Regeländerungen ohne Tickets; risikobasierte Zusatzschritte bei Bedarf.
• Transparenz & einfache Integration. APIs und No-Code-Module für schnelle Go-Lives — bei klarer Preisstruktur.

Warum Didit die üblichen Marktgrenzen überwindet

Während traditionelle Anbieter auf statische Validierungen, manuelle Reviews und unflexible Prozesse setzen, liefert Didit eine automatisierte, orchestrierbare Schicht, angebunden an staatliche Quellen, die die manuelle Abhängigkeit reduziert, die Erkennung verbessert und die Experience unter Kontrolle hält. Vollständige Identitätsprüfung plus globale Betrugsmuster-Basis ermöglichen Echtzeit-Entscheidungen zu Neukonten, Portierungen und SIM-Ersatz.