SIM swapping, czyli przejęcie karty SIM i oszustwa z tym związane to kategoria przestępstw, o których często słyszymy, lecz zazwyczaj uważamy, że nas nie dotyczą. – To realne i zyskujące na sile zagrożenie. Każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki – przestrzegają eksperci ds. cyberbezpieczeństwa ESET.

 

SIM swapping – jakie mogą być skutki?

Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych czy firmową stroną internetową – to tylko niektóre potencjalne skutki przejęcia przez hakerów karty SIM. Do przeprowadzenia takiej operacji przestępcy potrzebują naprawdę niewiele. Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w Internecie i mediach społecznościowych. Eksperci ds. cyberbezpieczeństwa przestrzegają przed rosnącą liczbą tego typu ataków.

 

Przejęcie karty SIM – często z nieświadomą pomocą właściciela.

W przeprowadzonym przez przedstawicieli ESET w Wielkiej Brytanii eksperymencie występująca w roli „przestępcy” osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM „ofiary”. W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM. Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN „ofiary” eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić na podstawie postów z mediów społecznościowych.

 

– Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami, a z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych to główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych – mówi Kamil Sadkowski, starszy analityk zagrożeń ESET.

 

Po pozytywnej weryfikacji przeprowadzający test specjalista ESET podał szczegółowy – oczywiście zmyślony – opis w jaki sposób telefon został skradziony oraz informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał stosownej zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie „ofiara” zauważyłaby tylko, że zanikł sygnał sieciowy i żadne smsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi. W kolejnych krokach, korzystając m.in. z uwierzytelniania dwuetapowego opartego na wiadomościach SMS, „przestępca” mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.

 

SIM swapping – jak się bronić?

Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM.

  1. Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny.
  2. Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.
  3. Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Warto również zwracać uwagę, aby nie być zbyt otwartym w mediach społecznościowych. Biorąc na cel nową ofiarę, cyberprzestępcy dokładnie przeglądają wszelkie informacje dostępne o niej w świecie wirtualnym. Dlatego dobrym nawykiem jest ograniczanie zasięgu postów, które publikujemy, szczególnie tych zawierających wrażliwe czy osobiste informacje.

 

– Zastosowanie powyższych wskazówek wzmocni naszą ochronę przed nieuprawnionym dostępem do naszych danych. Miejmy świadomość, że przy pomocy zgromadzonych danych przestępcy mogą zablokować dostęp do kont pełnoprawnym użytkownikom, a odzyskanie kontroli nad usługami może okazać się niezwykle trudne. Konsekwencje mogą być szczególnie dotkliwe w przypadku konta bankowego, poczty e-mail czy profili w mediach społecznościowych – podsumowuje Kamil Sadkowski.