Možná si myslíte, že dodržujete veškerá bezpečnostní opatření. Jste opatrní, co se týče ochrany vašich dat. Na všech svých online účtech máte aktivované dvoufázové ověření. Avšak hackeři našli způsob, jak tuto ochranu obejít – a to pomocí takzvané výměny SIM karty.
Tento typ útoku je velmi nebezpečný a má pro oběti vážné důsledky. Naštěstí existují způsoby, jak se před ním bránit. V tomto článku si vysvětlíme, jak výměna SIM karty funguje a jak se před ní můžete chránit.
Co znamená útok výměnou SIM karty?
Samo o sobě není na „výměně SIM karty“ nic špatného. Když ztratíte telefon, váš mobilní operátor provede výměnu SIM karty, čímž přenese vaše telefonní číslo na novou SIM kartu. Je to běžná součást zákaznického servisu.
Problém nastává, když se hackeři nebo organizované zločinecké skupiny naučí, jak donutit mobilní operátory provést výměnu SIM karty. Jakmile k tomu dojde, mohou získat přístup k účtům chráněným dvoufázovým ověřením založeným na SMS zprávách (2FA).
V tu chvíli je vaše telefonní číslo spárováno s telefonem někoho jiného. Zločinec pak dostává všechny textové zprávy a telefonní hovory, které byly určeny vám.
Dvoufázové ověření vzniklo jako reakce na problém s únikem hesel. Mnoho webových stránek nemá dostatečnou ochranu hesel. Používají techniky jako hašování a solení, aby ztížily čtení hesel třetími stranami v jejich původní podobě.
Situaci zhoršuje fakt, že mnoho lidí opakovaně používá stejná hesla na různých webech. Když je jeden web napaden, útočník získává vše potřebné k napadení účtů na jiných platformách, což vyvolává efekt sněhové koule.
Z bezpečnostních důvodů mnoho služeb vyžaduje, aby uživatelé při každém přihlášení k účtu zadali speciální jednorázové heslo (OTP). Tato jednorázová hesla se generují v reálném čase a platí pouze jednou, s krátkou dobou platnosti.
Pro pohodlí uživatelů mnoho webů posílá tato jednorázová hesla na mobilní telefony pomocí textové zprávy, což představuje riziko. Co se stane, pokud útočník získá vaše telefonní číslo, ať už krádeží telefonu nebo výměnou SIM karty? Útočník má poté téměř neomezený přístup k vašemu digitálnímu životu, včetně vašich bankovních a finančních účtů.
Jak tedy funguje útok s výměnou SIM karty? Spoléhá na to, že útočník přesvědčí zaměstnance telefonní společnosti, aby převedl vaše telefonní číslo na SIM kartu, kterou ovládá. Může k tomu dojít telefonicky nebo osobně v prodejně s telefony.
Aby byl útok úspěšný, musí útočník o oběti něco vědět. Sociální sítě jsou plné informací, které mohou posloužit k oklamání bezpečnostních otázek. Vaše první škola, jméno domácího mazlíčka, láska nebo rodné jméno vaší matky – to vše lze často najít na vašich sociálních profilech. Pokud selže tento přístup, útočník se může uchýlit k phishingu.
Útoky pomocí výměny SIM karty jsou komplexní a časově náročné, proto se více hodí pro cílené útoky na konkrétní jednotlivce. Je těžké je provádět masově. Přesto existují příklady rozsáhlých útoků tohoto typu. Jeden brazilský organizovaný zločinecký gang dokázal během krátké doby vyměnit SIM karty 5000 obětí.
Podobný podvod, nazývaný „port-out“, zahrnuje únos vašeho telefonního čísla jeho „přenesením“ k jinému mobilnímu operátorovi.
Kdo je nejvíce ohrožen?
Útoky výměnou SIM karty mívají díky své náročnosti obvykle velmi vysoké finanční výnosy. Motivací je téměř vždy finanční zisk.
V poslední době se oblíbeným cílem stávají kryptoměnové burzy a peněženky. Důvodem je i fakt, že na rozdíl od tradičních finančních služeb u kryptoměn neexistuje možnost stornování transakcí. Jakmile jsou prostředky odeslány, jsou nenávratně pryč.
Kromě toho si může kdokoli vytvořit kryptoměnovou peněženku, aniž by se musel registrovat v bance. Je to nejblíže anonymitě, pokud jde o peníze, což usnadňuje praní odcizených finančních prostředků.
Jednou z obětí, která se o tom hořce přesvědčila, byl investor do Bitcoinu, Michael Tarpin, který při útoku s výměnou SIM karty přišel o 1500 bitcoinů. K útoku došlo jen několik týdnů předtím, než bitcoin dosáhl své historické nejvyšší hodnoty. V té době měl Tarpinův majetek hodnotu přes 24 milionů dolarů.
Když se novinář Matthew Miller ze ZDNet stal obětí útoku výměnou SIM karty, hackeři se pokusili pomocí jeho bankovního účtu nakoupit bitcoiny v hodnotě 25 000 dolarů. Naštěstí banka dokázala platbu stornovat, než peníze opustily jeho účet. Útočníci však i tak zničili Millerův celý online život, včetně jeho účtů u Google a Twitteru.
Někdy je cílem útoku s výměnou SIM karty oběť jen ponížit. Tuto krutou lekci zažil 30. srpna 2019 zakladatel Twitteru a Square, Jack Dorsey. Hackeři mu ukradli jeho účet a umístili do jeho profilu rasistické a antisemitské výroky, které viděly miliony lidí.
Jak poznáte, že došlo k útoku?
Prvním příznakem útoku výměnou SIM karty je ztráta veškerých služeb. Nemůžete přijímat ani odesílat textové zprávy, uskutečňovat hovory nebo přistupovat k internetu přes mobilní data.
V některých případech vám může váš mobilní operátor odeslat SMS zprávu, že probíhá výměna SIM karty, krátce předtím, než se vaše telefonní číslo převede na novou SIM kartu. Miller to zažil takto:
„V pondělí 10. června ve 23:30 mě probudila z hlubokého spánku dcera. Řekla, že to vypadá, že můj účet na Twitteru byl napaden. Ukázalo se, že situace je mnohem horší.“
„Poté, co jsem vstal z postele, vzal jsem svůj Apple iPhone XS a viděl jsem textovou zprávu: ‚Upozornění T-Mobile: SIM karta pro xxx-xxx-xxxx byla vyměněna. Pokud jste tuto změnu nepovolili, volejte 611.'“
Pokud máte stále přístup ke svému e-mailovému účtu, můžete si všimnout neobvyklé aktivity, včetně oznámení o změnách účtů a online objednávkách, které jste nezadali.
Jak byste měli reagovat?
Pokud dojde k útoku s výměnou SIM karty, je důležité, abyste okamžitě podnikli kroky, které zabrání dalšímu zhoršení situace.
Nejprve zavolejte do své banky a společnosti vydávající kreditní karty a požádejte o zmrazení svých účtů. Tím zabráníte útočníkovi používat vaše peníze k podvodným nákupům. Jelikož jste se stali obětí krádeže identity, je rozumné kontaktovat také úvěrové registry a požádat o zmrazení vašeho úvěru.
Poté se pokuste „předehnat“ útočníky tím, že přesunete co nejvíce účtů na nový, nekompromitovaný e-mailový účet. Odpojte staré telefonní číslo a používejte silná (a zcela nová) hesla. U účtů, ke kterým se nemůžete včas dostat, kontaktujte zákaznický servis.
Nakonec byste měli kontaktovat policii a podat hlášení. Nemohu to zdůraznit dostatečně – jste obětí trestného činu. Mnoho pojistných smluv pro majitele domů zahrnuje ochranu proti krádeži identity. Podáním policejního hlášení si možná budete moci uplatnit nárok na pojistné plnění a získat zpět alespoň část ztracených peněz.
Jak se chránit před útokem
Prevence je samozřejmě vždy lepší než řešení následků. Nejlepším způsobem, jak se chránit před útoky výměnou SIM karty, je jednoduše nepoužívat dvoufázové ověření založené na SMS zprávách. Naštěstí existují dobré alternativy.
Můžete používat ověřovací aplikaci, například Google Authenticator. Pro další úroveň zabezpečení si můžete zakoupit fyzický ověřovací token, například YubiKey nebo Google Titan Key.
Pokud musíte bezpodmínečně používat dvoufázové ověření založené na textových zprávách nebo hovorech, měli byste zvážit investici do vyhrazené SIM karty, kterou nikde jinde nepoužíváte. Další možností je používat číslo Google Voice, i když tato služba není dostupná ve všech zemích.
Bohužel, i když používáte dvoufázové ověření založené na aplikaci nebo fyzický bezpečnostní klíč, mnoho služeb vám umožní je obejít a znovu získat přístup k účtu pomocí textové zprávy zaslané na vaše telefonní číslo. Služby, jako je rozšířená ochrana Google, nabízejí neprolomitelnější zabezpečení pro osoby, kterým hrozí, že se stanou cílem, „jako jsou novináři, aktivisté, vedoucí pracovníci podniků a členové politických kampaní.“