16/06/2021

SIM swapping – zagrożenie dla konta bankowego

SIM swapping, czyli przejęcie karty SIM i oszustwa z tym związane, to przestępstwa, o których często słyszymy, lecz uważamy, że nas nie dotyczą. – To realne i zyskujące na sile zagrożenie. Każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki. – przestrzegają eksperci ds. cyberbezpieczeństwa ESET.

SIM swapping – jakie mogą być skutki?

Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych, czy firmową stroną www – to tylko niektóre potencjalne skutki przejęcia przez hakerów karty SIM. Do przeprowadzenia takiej operacji przestępcy potrzebują naprawdę niewiele. Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w Internecie i mediach społecznościowych. Eksperci ds. cyberbezpieczeństwa przestrzegają przed rosnącą liczbą tego typu ataków.

SIM swapping

Przejęcie karty SIM – często z nieświadomą pomocą właściciela

W przeprowadzonym przez ESET eksperymencie, występująca w roli „przestępcy” osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM „ofiary”. W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM. Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN „ofiary” eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić na podstawie postów z mediów społecznościowych. – Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami. A z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych. To główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danychmówi Kamil Sadkowski, starszy analityk zagrożeń ESET.

Jak nielegalnie można uzyskać dostęp do nowej karty SIM?

Po pozytywnej weryfikacji, przeprowadzający test specjalista ESET podał szczegółowy – oczywiście zmyślony – opis w jaki sposób telefon został skradziony. A także informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie „ofiara” zauważyłaby tylko, że zanikł sygnał sieciowy i żadne smsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi. Korzystając m.in. z uwierzytelniania dwuetapowego, opartego na SMS, „przestępca” mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.

SIM swapping – jak się bronić?

Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM:
– Nie używać w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny.
– Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.
– Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego. Zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w SMS). Albo też klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Warto również zwracać uwagę, aby nie być zbyt otwartym w mediach społecznościowych. Biorąc na cel nową ofiarę, cyberprzestępcy dokładnie przeglądają wszelkie informacje dostępne o niej w świecie wirtualnym. Dlatego dobrym nawykiem jest ograniczanie zasięgu postów, które publikujemy, szczególnie tych zawierających wrażliwe czy osobiste informacje.

(RED/ESET)

Autor/Redaktor publikacji

Marcin Majerek
Marcin Majerek