SIM-Swapping – to praktyka nakłaniania operatorów komórkowych do przełączania usług telefonicznych ofiary na telefon kontrolowany przez atakującego. Można nazwać to atakiem socjotechnicznym, który według służb federalnych Stanów Zjednoczonych zwiększył swoją częstotliwość kilkukrotnie przez ostatni rok. Prowadzi to do milionowych strat dla konsumentów, ponieważ podszywanie się pod abonenta to pierwszy krok do oszustów bankowych.
Jak wiemy, karty SIM to małe chipy wewnątrz telefonów komórkowych, które umożliwiają operatorowi identyfikację i rejestrację urządzeń abonenckich – co jest warunkiem świadczenia usług. Większość ataków polegających na podmianie karty SIM przybiera formę socjotechniki, w której przestępcy podszywają się pod ofiary i przekonują agentów obsługi klienta do zmiany usług ofiar na nowe telefony, które kontrolują.
Po przekierowaniu usługi oszuści mają dostęp do wszystkich połączeń, SMS-ów, poczty głosowej i zapisanych danych profilu ofiary, co pozwala im wysyłać żądania „Zapomniałem hasła” lub „Odzyskanie konta” na adres e-mail ofiary, co z kolei umożliwia łatwe złamanie uwierzytelniania wieloskładnikowego i dostęp do kont o wysokiej wartości.
Podczas gdy SIM-Swapping (inaczej SIM-jacking) nie jest nową praktyką, wydaje się, że ataki przyspieszają teraz w ogromnym tempie. W zeszłym roku FBI Internet Crime Complaint Center (IC3) otrzymało 1611 skarg dotyczących SIM-Swapping z wyliczonymi stratami wynikającymi z przejęć kont i kradzieży danych o łącznej wartości ponad 68 milionów dolarów. Z kolei w całym trzyletnim okresie od stycznia 2018 r. do grudnia 2020 r. było tylko 320 zgłoszeń ze stratami w wysokości około 12 milionów dolarów.
Zbyt proste do wykonania
Zwykle nie jest to trudny plan do wykonania, biorąc pod uwagę, że wielu operatorów nie zadaje szczegółowych pytań bezpieczeństwa, które w pełni weryfikują, czy dzwoniący jest w rzeczywistości legalnym użytkownikiem telefonu komórkowego. Często na pytania można odpowiedzieć za pomocą wcześniej wyłudzonych informacji lub nawet informacji publicznych znalezionych w serwisach społecznościowych.
Inne wektory ataków obejmują phishing i zagrożenia wewnętrzne. Na przykład, kiedy w 2019 r. wyszło na jaw, że dyrektor generalny Twittera Jack Dorsey padł ofiarą SIM-Swapping, New York Times poinformował, że „zespoły hackerskie zapłaciły pracownikom firmy telefonicznej za… przełączenie numeru na ich karty SIM, za jedyne 100 dolarów za każdy numer telefonu.” Ten rodzaj współpracy nie jest nawet niczym niezwykłym – zaowocował pozwem dla AT&T w 2018 roku.
Takie ataki to nie tylko specjalność przestępców w Stanach Zjednoczonych. Na przykład hiszpańska policja krajowa w tym tygodniu rozpracowała grupę, która ominęła weryfikację kont operatorów na podstawie zdjęć, wykorzystując nieoryginalne zdjęcia ofiar do żądania zamiany kart.
Jakich zmian potrzebujemy?
Użytkownicy końcowi mogą zrobić bardzo niewiele, aby nie stać się ofiarami tego oszustwa. Specjaliści twierdzą, że przede wszystkim obowiązkiem firmy telefonii komórkowej jest utrzymywanie porządku na swoim podwórku.
Pytania bezpieczeństwa nie są, jak widać najlepszym pomysłem, ponieważ w dzisiejszych czasach nie jest żadnym problemem pozyskanie takich informacji. Być może stosowanie unikalnych kodów PIN dla każdego konsumenta jest lepszym rozwiązaniem.
Inną praktyką, którą mogą wdrożyć wszystkie firmy, jest odejście od 2FA opartego na SMS-ach.
„Ataki polegające na zamianie karty SIM trwają od ponad dekady i prawdopodobnie doprowadziły do kradzieży miliardów aktywów” – powiedział Roger Grimes, ewangelista w dziedzinie obrony opartej na danych w KnowBe4. „MFA oparte na SMS-ie jest stale najpopularniejszą opcją MFA używaną w Internecie i przez większość czasu ludzie nie mają wyboru, czy z niej skorzystać, czy nie. Ich bank, sprzedawca lub serwis mówi, że muszą z niego skorzystać. (…) Rząd USA powiedział, aby nie używać go już w 2017 roku. Lepszym pytaniem, jakie należy zadać, jest to, dlaczego tak wiele usług i dostawców nadal korzysta z usług MFA opartych na SMS-ach i numerach telefonów pięć lat po tym, jak rząd USA powiedział, że nie jest to dobre rozwiązanie? Dlaczego jesteśmy tacy powolni i bezradni?”
FBI zaleciło w tym tygodniu, aby operatorzy komórkowi podjęli następujące środki ostrożności:
- Edukujcie pracowników i przeprowadzajcie szkolenia z wymiany kart SIM.
- Uważnie sprawdzajcie przychodzące adresy e-mail zawierające oficjalną korespondencję pod kątem drobnych zmian, które mogą sprawić, że fałszywe adresy będą wyglądać na legalne i przypominać rzeczywiste nazwy klientów.
- Ustawcie rygorystyczne protokoły bezpieczeństwa umożliwiające pracownikom skuteczną weryfikację poświadczeń klientów przed zmianą ich numerów na nowe urządzenie.
- Uwierzytelniaj połączenia od autoryzowanych sprzedawców zewnętrznych proszących o informacje o kliencie.
Porady dla użytkowników końcowych
FBI wydało również kilka porad dla konsumentów, które może nie zniwelują zagrożenia, ale na pewno pomogą się przed nim uchronić:
- Nie podawaj informacji o aktywach finansowych, w tym własności lub inwestycji w kryptowaluty, w serwisach społecznościowych i forach. Trzymaj takie informacje dla siebie.
- Nie podawaj przez telefon informacji o swoim numerze telefonu komórkowego przedstawicielom, którzy żądają hasła do konta lub kodu PIN. Zweryfikuj połączenie, dzwoniąc na linię obsługi klienta swojego operatora komórkowego.
- Unikaj publikowania danych osobowych w Internecie, takich jak numer telefonu komórkowego, adres lub inne dane umożliwiające identyfikację.
- Korzystaj z różnych unikalnych haseł, aby uzyskać dostęp do kont internetowych.
- Bądź świadomy wszelkich zmian w łączności opartej na SMS-ach.
- Korzystaj z silnych metod MFA, takich jak biometria, fizyczne tokeny bezpieczeństwa lub autonomiczne aplikacje uwierzytelniające, aby uzyskać dostęp do kont online.
- Nie przechowuj haseł, nazw użytkowników ani innych informacji w celu łatwego logowania w aplikacjach urządzeń mobilnych.