Ви думаєте, що робите всі правильні кроки. Ви розумно ставитеся до своєї безпеки. У вас увімкнено двофакторну автентифікацію для всіх ваших облікових записів. Але у хакерів є спосіб обійти це: заміна SIM-карти.
Це руйнівний метод атаки з жахливими наслідками для тих, хто стає його жертвою. На щастя, є способи захистити себе. Ось як це працює і що ви можете зробити.
Що таке атака заміни SIM-карти?
Немає нічого поганого в «заміні SIM-карти». Якщо ви коли-небудь втратите свій телефон, ваш оператор здійснить заміну SIM-картки та перенесе ваш номер мобільного телефону на нову SIM-карту. Це рутинне завдання обслуговування клієнтів.
Проблема в тому, що хакери та організовані злочинці придумали, як обманом змусити телефонні компанії виконувати заміну SIM-карт. Потім вони можуть отримати доступ до облікових записів, захищених двофакторною автентифікацією на основі SMS (2FA).
Раптом ваш номер телефону пов’язано з чужим телефоном. Потім злочинець отримує всі текстові повідомлення та телефонні дзвінки, призначені для вас.
Двофакторна аутентифікація була задумана як відповідь на проблему витоку паролів. Багато сайтів не можуть належним чином захищати паролі. Вони використовують хешування та сольування, щоб запобігти читанню паролів у їх первісному вигляді третіми сторонами.
Ще гірше те, що багато людей повторно використовують паролі на різних сайтах. Коли один сайт зламано, у зловмисника тепер є все необхідне для атаки облікових записів на інших платформах, створюючи ефект сніжної кулі.
Для безпеки багато служб вимагають, щоб люди вводили спеціальний одноразовий пароль (OTP) під час входу в обліковий запис. Ці одноразові паролі генеруються на льоту і дійсні лише один раз. Вони також закінчуються через короткий час.
Для зручності багато сайтів надсилають ці одноразові паролі на ваш телефон у текстовому повідомленні, що має свої ризики. Що станеться, якщо зловмисник зможе отримати ваш номер телефону, вкравши ваш телефон або здійснивши заміну SIM-карти? Це дає цій людині майже безперешкодний доступ до вашого цифрового життя, включаючи ваші банківські та фінансові рахунки.
Отже, як працює атака заміни SIM-карти? Що ж, це залежить від того, що зловмисник обманом змусить співробітника телефонної компанії передати ваш номер телефону на SIM-карту, якою він чи вона керує. Це може статися як по телефону, так і особисто в телефонному магазині.
Для цього зловмиснику потрібно трохи знати про жертву. На щастя, соціальні мережі переповнені біографічними подробицями, які можуть обдурити секретне питання. Ваша перша школа, домашня тварина або кохання, а також дівоче прізвище матері, ймовірно, можна знайти у ваших соціальних акаунтах. Звичайно, якщо це не вдається, завжди буде фішинг.
Атаки із заміною SIM-картки є залученими та тривалими, що робить їх більш придатними для цілеспрямованих вторгнень проти певної особи. Важко вивести їх у масштабі. Проте були деякі приклади поширених атак із заміною SIM-карти. Була одна бразильська організована злочинна група здатний замінити SIM-карту 5000 жертв протягом відносно короткого періоду часу.
Шахрайство з «перенесенням» подібне і передбачає викрадення вашого номера телефону шляхом «перенесення» його на нового оператора стільникового зв’язку.
Хто найбільше ризикує?
Через необхідні зусилля атаки заміни SIM-карти, як правило, мають особливо вражаючі результати. Мотив майже завжди фінансовий.
Останнім часом біржі криптовалют і гаманці стали популярними об’єктами. Ця популярність посилюється тим фактом, що, на відміну від традиційних фінансових послуг, не існує такого поняття, як повернення платежів за допомогою біткойн. Як тільки його відправили, його немає.
Крім того, кожен може створити криптовалютний гаманець без реєстрації в банку. Це найближче до анонімності, що стосується грошей, що полегшує відмивання вкрадених коштів.
Одна відома жертва, яка навчилася цьому нелегким шляхом Інвестор у біткойн Майкл Тарпін, який втратив 1500 монет під час атаки заміни SIM-карти. Це сталося за кілька тижнів до того, як біткойн досяг свого найвищого значення за всю історію. На той час активи Тарпіна становили понад 24 мільйони доларів.
Коли журналіст ZDNet Метью Міллер, став жертвою атаки заміни SIM-карти, хакер намагався придбати біткойн на суму 25 000 доларів за допомогою свого банку. На щастя, банк зміг скасувати стягнення до того, як гроші залишили його рахунок. Однак зловмисник все ще міг зруйнувати все онлайн-життя Міллера, включаючи його облікові записи Google і Twitter.
Іноді мета атаки заміни SIM-карти – збентежити жертву. Цей жорстокий урок отримав засновник Twitter і Square Джек Дорсі 30 серпня 2019 року. Хакери викрав його обліковий запис і розмістив расистські та антисемітські епітети до своєї стрічки, за якою стежать мільйони людей.
Як дізнатися, що відбувся напад?
Першою ознакою облікового запису заміни SIM-картки є те, що SIM-карта втрачає всі послуги. Ви не зможете отримувати або надсилати текстові повідомлення чи дзвінки, а також виходити в Інтернет через свій тарифний план.
У деяких випадках ваш телефонний постачальник може надіслати вам текстове повідомлення про те, що відбувається заміна, за кілька хвилин до перенесення вашого номера на нову SIM-карту. Ось що сталося з Міллером:
«О 23:30 в понеділок, 10 червня, моя старша дочка потрясла мене за плече, щоб розбудити мене від глибокого сну. Вона сказала, що, схоже, мій акаунт у Twitter зламали. Виявилося, що все було набагато гірше.
Піднявшись з ліжка, я взяв свій Apple iPhone XS і побачив текстове повідомлення з написом «Сповіщення T-Mobile: SIM-карту для xxx-xxx-xxxx змінено. Якщо ця зміна не дозволена, зателефонуйте за номером 611».
Якщо у вас все ще є доступ до свого облікового запису електронної пошти, ви також можете помітити дивну активність, зокрема сповіщення про зміни облікового запису та онлайн-замовлення, які ви не робили.
Як Ви повинні реагувати?
Коли відбувається атака заміни SIM-картки, дуже важливо вжити негайних рішучих заходів, щоб запобігти погіршенню ситуації.
По-перше, зателефонуйте у свій банк і компанії, які видають кредитні картки, і попросіть заморозити свої рахунки. Це убереже зловмисник від використання ваших коштів для шахрайських покупок. Оскільки ви також фактично стали жертвою крадіжки особистих даних, також буде розумно зв’язатися з різними бюро кредитних історій і подати запит на блокування кредиту.
Потім спробуйте «випередити» зловмисників, перемістивши якомога більше облікових записів на новий, незабруднений обліковий запис електронної пошти. Від’єднайте свій старий номер телефону та використовуйте надійні (і абсолютно нові) паролі. Якщо ви не можете зв’язатися з обліковими записами вчасно, зв’яжіться зі службою підтримки клієнтів.
Нарешті, вам слід звернутися до поліції та написати заяву. Я не можу сказати цього достатньо — ви жертва злочину. Страхові поліси багатьох домовласників включають захист від крадіжки особистих даних. Подання заяви в поліцію може дозволити вам подати претензію на ваш поліс і повернути частину грошей.
Як захистити себе від нападу
Звичайно, профілактика завжди краще, ніж лікування. Найкращий спосіб захиститися від атак із заміною SIM-карти – просто не використовувати 2FA на основі SMS. На щастя, є кілька переконливих альтернатив.
Ви можете використовувати програму автентифікації на основі програми, наприклад Google Authenticator. Для іншого рівня безпеки ви можете придбати фізичний маркер аутентифікації, як-от YubiKey або Google Titan Key.
Якщо ви абсолютно зобов’язані використовувати 2FA на основі текстових або дзвінків, вам варто подумати про інвестування у виділену SIM-карту, яку ви більше ніде не використовуєте. Інший варіант — використовувати номер Google Voice, хоча він недоступний у більшості країн.
На жаль, навіть якщо ви використовуєте 2FA на основі програми або фізичний ключ безпеки, багато служб дозволять вам обійти їх і відновити доступ до свого облікового запису за допомогою текстового повідомлення, надісланого на ваш номер телефону. Такі послуги, як Google Advanced Protection, пропонують більш куленепробивний захист для людей, які ризикують стати мішенню, «як-от журналістів, активістів, бізнес-лідерів та політичних команд».