Myslíte si, že děláte všechny správné kroky. Se svou bezpečností jste chytří. Na všech svých účtech máte povolenou dvoufaktorovou autentizaci. Ale hackeři mají způsob, jak to obejít: výměna SIM.
Je to zničující metoda útoku s hroznými následky pro ty, kdo se jí stanou obětí. Naštěstí existují způsoby, jak se chránit. Zde je návod, jak to funguje a co můžete dělat.
Table of Contents
Co je útok výměnou SIM karty?
Na „výměně SIM“ není nic špatného. Pokud někdy ztratíte telefon, váš operátor provede výměnu SIM karty a přesune číslo vašeho mobilního telefonu na novou SIM kartu. Je to rutinní úkol zákaznického servisu.
Problém je v tom, že hackeři a organizovaní zločinci přišli na to, jak přimět telefonní společnosti k výměně SIM karet. Poté mohou přistupovat k účtům chráněným dvoufaktorovou autentizací na bázi SMS (2FA).
Najednou je vaše telefonní číslo spojeno s telefonem někoho jiného. Zločinec pak dostává všechny textové zprávy a telefonní hovory určené vám.
Dvoufaktorová autentizace byla koncipována jako reakce na problém uniklých hesel. Mnoho webů nedokáže správně chránit hesla. Používají hašování a solení, aby zabránily třetím stranám číst hesla v jejich původní podobě.
Ještě horší je, že mnoho lidí znovu používá hesla na různých webech. Když je jeden web napaden, útočník má nyní vše, co potřebuje k útoku na účty na jiných platformách, což vytváří efekt sněhové koule.
Kvůli bezpečnosti mnoho služeb vyžaduje, aby lidé při každém přihlášení k účtu poskytli speciální jednorázové heslo (OTP). Tato jednorázová hesla se generují za běhu a jsou platná pouze jednou. Po krátké době také vyprší.
Pro pohodlí mnoho webů odesílá tato jednorázová hesla do vašeho telefonu v textové zprávě, což má svá rizika. Co se stane, když útočník získá vaše telefonní číslo, a to buď krádeží vašeho telefonu, nebo výměnou SIM karty? To této osobě poskytuje téměř neomezený přístup k vašemu digitálnímu životu, včetně vašich bankovních a finančních účtů.
Jak tedy útok s výměnou SIM karty funguje? Závisí to na tom, že útočník oklame zaměstnance telefonní společnosti, aby přenesl vaše telefonní číslo na SIM kartu, kterou ovládá. To se může stát buď po telefonu, nebo osobně v obchodě s telefony.
Aby toho dosáhl, musí útočník o oběti něco vědět. Naštěstí jsou sociální média plná životopisných údajů, které by mohly oklamat bezpečnostní otázku. Svou první školu, domácího mazlíčka nebo lásku a rodné jméno vaší matky lze pravděpodobně najít na vašich sociálních účtech. Samozřejmě, pokud to selže, vždy dojde k phishingu.
Útoky s výměnou SIM karet jsou složité a časově náročné, takže jsou vhodnější pro cílené invaze proti konkrétnímu jednotlivci. Je těžké je stáhnout v měřítku. Existuje však několik příkladů rozšířených útoků na výměnu SIM karet. Byl to jeden brazilský gang organizovaného zločinu schopen vyměnit SIM 5 000 obětí za relativně krátkou dobu.
Podvod „port-out“ je podobný a zahrnuje únos vašeho telefonního čísla „přenesením“ na nového mobilního operátora.
Kdo je nejvíce ohrožen?
Vzhledem k požadovanému úsilí mívají útoky s výměnou SIM karty obzvláště velkolepé výsledky. Motiv je téměř vždy finanční.
V poslední době jsou oblíbeným cílem kryptoměnové burzy a peněženky. Tato popularita je umocněna skutečností, že na rozdíl od tradičních finančních služeb neexistuje u bitcoinů nic takového jako chargeback. Jakmile je to odesláno, je to pryč.
Kromě toho si každý může vytvořit kryptoměnovou peněženku, aniž by se musel registrovat v bance. Je to nejblíže k anonymitě, pokud jde o peníze, což usnadňuje praní ukradených finančních prostředků.
Jedna známá oběť, která se to naučila tvrdě, je Bitcoinový investor, Michael Tarpin, který přišel o 1500 coinů při útoku na výměnu SIM karty. Stalo se to pouhé týdny předtím, než bitcoin dosáhl své historicky nejvyšší hodnoty. V té době měl Tarpinův majetek hodnotu přes 24 milionů dolarů.
Když novinář ZDNet, Matthew Miller, se stal obětí útoku s výměnou SIM kartyHacker se pokusil pomocí své banky koupit bitcoiny v hodnotě 25 000 USD. Naštěstí banka dokázala stornovat poplatek, než peníze odešly z jeho účtu. Útočníkovi se však stále podařilo zničit celý Millerův online život, včetně jeho účtů Google a Twitter.
Někdy je účelem útoku s výměnou SIM karty uvést oběť do rozpaků. Této kruté lekci se 30. srpna 2019 naučil zakladatel Twitteru a Square, Jack Dorsey. Hackeři ukradl jeho účet a umístil rasistická a antisemitská přídomek do svého zdroje, který sledují miliony lidí.
Jak poznáte, že došlo k útoku?
První známkou účtu pro výměnu SIM karty je, že karta SIM ztratí veškeré služby. Prostřednictvím datového tarifu nebudete moci přijímat ani odesílat textové zprávy nebo hovory ani přistupovat k internetu.
V některých případech vám může váš telefonní operátor poslat textovou zprávu o tom, že probíhá výměna, chvíli před přesunem vašeho čísla na novou SIM kartu. Millerovi se stalo toto:
„V pondělí 10. června ve 23:30 mi má nejstarší dcera zatřásla ramenem, aby mě probudila z hlubokého spánku. Řekla, že to vypadalo, že můj účet na Twitteru byl hacknut. Ukázalo se, že věci byly mnohem horší.
Poté, co jsem vstal z postele, zvedl jsem svůj Apple iPhone XS a uviděl jsem textovou zprávu „Upozornění T-Mobile: SIM karta pro xxx-xxx-xxxx byla vyměněna. Pokud tato změna není povolena, zavolejte 611.’“
Pokud stále máte přístup ke svému e-mailovému účtu, můžete také začít pozorovat podivnou aktivitu, včetně oznámení o změnách účtu a online objednávkách, které jste nezadali.
Jak byste měli reagovat?
Když dojde k útoku na výměnu SIM karty, je důležité, abyste okamžitě podnikli rozhodné kroky, abyste zabránili zhoršení situace.
Nejprve zavolejte své bance a společnosti vydávající kreditní karty a požádejte o zmrazení svých účtů. Tím zabráníte útočníkovi použít vaše prostředky k podvodným nákupům. Vzhledem k tomu, že jste se skutečně stali obětí krádeže identity, je také moudré kontaktovat různé úvěrové kanceláře a požádat o zmrazení vašeho kreditu.
Poté se pokuste „předběhnout“ útočníky přesunutím co největšího počtu účtů na nový, neposkvrněný e-mailový účet. Odpojte své staré telefonní číslo a používejte silná (a zcela nová) hesla. V případě jakýchkoli účtů, ke kterým se nemůžete dostat včas, kontaktujte zákaznický servis.
Nakonec byste měli kontaktovat policii a podat oznámení. Nemohu to říct dost – jste obětí zločinu. Mnoho pojistných smluv majitele domu zahrnuje ochranu proti krádeži identity. Podání policejního hlášení vám může umožnit podat žalobu proti vaší pojistce a získat zpět nějaké peníze.
Jak se chránit před útokem
Prevence je samozřejmě vždy lepší než léčba. Nejlepší způsob, jak se chránit před útoky na výměnu SIM karet, je jednoduše nepoužívat 2FA založené na SMS. Naštěstí existují nějaké přesvědčivé alternativy.
Můžete použít ověřovací program založený na aplikaci, jako je Google Authenticator. Pro další úroveň zabezpečení si můžete zakoupit fyzický ověřovací token, jako je YubiKey nebo Google Titan Key.
Pokud bezpodmínečně musíte používat 2FA založené na textových nebo hovorech, měli byste zvážit investici do vyhrazené SIM karty, kterou nikde jinde nepoužíváte. Další možností je použít číslo Google Voice, i když to není ve většině zemí dostupné.
Bohužel, i když používáte 2FA založené na aplikaci nebo fyzický bezpečnostní klíč, mnoho služeb vám umožní tyto obejít a znovu získat přístup ke svému účtu prostřednictvím textové zprávy zaslané na vaše telefonní číslo. Služby, jako je pokročilá ochrana Google, nabízejí neprůstřelnější zabezpečení pro lidi, kterým hrozí, že se stanou terčem, „jako jsou novináři, aktivisté, obchodní vedoucí a týmy politických kampaní“.