SIM swapping, czyli przejęcie karty SIM i oszustwa z tym związane, to przestępstwa, o których często słyszymy, lecz uważamy, że nas nie dotyczą. – To realne i zyskujące na sile zagrożenie. Każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki. – przestrzegają eksperci ds. cyberbezpieczeństwa ESET.
SIM swapping – jakie mogą być skutki?
Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych, czy firmową stroną www – to tylko niektóre potencjalne skutki przejęcia przez hakerów karty SIM. Do przeprowadzenia takiej operacji przestępcy potrzebują naprawdę niewiele. Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w Internecie i mediach społecznościowych. Eksperci ds. cyberbezpieczeństwa przestrzegają przed rosnącą liczbą tego typu ataków.
Przejęcie karty SIM – często z nieświadomą pomocą właściciela
W przeprowadzonym przez ESET eksperymencie, występująca w roli „przestępcy” osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM „ofiary”. W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM. Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN „ofiary” eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić na podstawie postów z mediów społecznościowych. – Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami. A z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych. To główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych – mówi Kamil Sadkowski, starszy analityk zagrożeń ESET.
Jak nielegalnie można uzyskać dostęp do nowej karty SIM?
Po pozytywnej weryfikacji, przeprowadzający test specjalista ESET podał szczegółowy – oczywiście zmyślony – opis w jaki sposób telefon został skradziony. A także informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie „ofiara” zauważyłaby tylko, że zanikł sygnał sieciowy i żadne smsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi. Korzystając m.in. z uwierzytelniania dwuetapowego, opartego na SMS, „przestępca” mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.
SIM swapping – jak się bronić?
Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM:
– Nie używać w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny.
– Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.
– Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego. Zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w SMS). Albo też klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).
Warto również zwracać uwagę, aby nie być zbyt otwartym w mediach społecznościowych. Biorąc na cel nową ofiarę, cyberprzestępcy dokładnie przeglądają wszelkie informacje dostępne o niej w świecie wirtualnym. Dlatego dobrym nawykiem jest ograniczanie zasięgu postów, które publikujemy, szczególnie tych zawierających wrażliwe czy osobiste informacje.
(RED/ESET)