Przestępcy w sieci sięgają po coraz bardziej wyrafinowane metody okradania swoich ofiar. Jedną z najbardziej niebezpiecznych jest SIM swap.
SIM swap, czyli co?
Czym jest
SIM swap? To forma kradzieży tożsamości, w ramach której atakujący przejmuje numer telefonu ofiary, co oczywiście jest furtką do konta bankowego, social mediów czy giełd kryptowalut. Chodzi o to, że to za pomocą SIM i naszego numeru telefonu autoryzujemy przelewy, wejścia np. na Facebooka czy na platformy do handlu cyfrowymi aktywami. Jak jednak hakerom udaje się przejąć numer? Dokonują nielegalnego duplikatu karty SIM.
Skala działania przestępców jest duża. W 2021 roku Federalne Biuro Śledcze Stanów Zjednoczonych otrzymało ponad 1600 skarg dotyczących SIM swap. Straty ofiar pochłonęły 68 milionów USD. By zrozumieć jeszcze bardziej skalę problemu, wspomnijmy, że jest to to 400-procentowy wzrost otrzymanych skarg w porównaniu z trzema wcześniejszymi latami.
Jeśli nie nastąpi odejście od 2FA opartego na SMS-ach, a dostawcy usług telekomunikacyjnych nie podniosą swoich standardów bezpieczeństwa, prawdopodobnie będziemy świadkami dalszego wzrostu liczby ataków
— stwierdził w rozmowie z Cointelegraph dyrektor ds. operacji bezpieczeństwa firmy
CertiK, Hugh Brooks.
Problem dotyka też inwestorów kryptowalut. W październiku 2021 r. Coinbase podało, że hakerzy ukradli kryptowaluty od co najmniej 6000 klientów bazując właśnie na ominięciu uwierzytelniania dwuskładnikowego (2FA). Haker
Joseph O’Connor został w 2019 r. oskarżony o kradzież około 800 000 USD w kryptowalutach. Dokonał tego za pomocą SIM swap.
Jak nie dać się przestępcom?
Jak jednak hakerom udaje się ukraść SIM? To zadanie z zakresu socjotechniki. Wszystko zaczyna się od kontaktu z operatorem komórkowym. Haker musi więc najpierw posiąść numer i dane ofiary. Potem w czasie rozmowy telefonicznej podszywa się pod tę ostatnią i zainicjować proces wymiany karty.
Jak widać, przejęcie SIM nie jest trudne. Jak więc nie dać się hakerom? Można ograniczyć użycie zabezpieczeń 2FA i polegać np. na
Google Authenticator lub
Authy.
Oczywiście konieczna jest też ochrona danych osobowych, takich jak imię i nazwisko, adres, numer telefonu i data urodzenia. To uniemożliwi przestępcom wymianę SIM u operatora.
Komentarze