Раніше цей вид кібератак траплявся лише як одиничні випадки. Але розповсюдження двофакторної аутентифікації та прив’язка різних сервісів до SIM-картки зробили їх частішими.
Це дуже небезпечна атака, за допомогою якої зловмисники можуть отримати доступ до всієї Вашої інформації і вкрасти Вашу “цифрову ідентичність”, не кажучи вже про гроші.
Ви думаєте, що Ви робите все правильно і розумієте основні правила безпеки приватних даних. У Вас увімкнено двофакторну аутентифікацію на всіх облікових записах. Але у хакерів є спосіб обійти це і цей спосіб називається – атака підміни SIM-картки (SIM swapping attack).
Це руйнівний метод атаки з тяжкими наслідками для тих, хто стає жертвою, але, на щастя, є способи убезпечити себе.
Що таке атака підміни SIM-картки?
В ідеї “заміни SIM-картки” немає нічого поганого. Якщо Ви коли-небудь втратите телефон, Ваш оператор здійснить заміну SIM-карти та перемістить Ваш номер мобільного телефону на нову SIM-карту. Це звичайна послуга, яку надають у сервісних центрах.
Проблема полягає в тому, що хакери та організовані злочинці придумали, як обманути телефонні компанії. Потім вони можуть отримати доступ до облікових записів, захищених двофакторною аутентифікацією на основі SMS (2FA).
Суть в тому, що в один прекрасний момент Ваш номер телефону асоціюється з чужим телефоном. Потім злочинець отримує всі призначені для Вас текстові повідомлення та телефонні дзвінки. Двофакторна аутентифікація була задумана у відповідь на проблему витоку паролів. Багато сайтів не захищають належним чином паролі. Вони використовують метод хешування, щоб запобігти читанню паролів у їх первісному вигляді сторонніми особами.
Читайте також: Чому SMS не є приватними та безпечними?
Ще гірше – багато людей використовують повторно паролі на різних сайтах. Коли один сайт є скомпрометованим і паролі з нього вільно читаються, зловмисник тепер має все необхідне для атаки на екаунти на інших платформах, створюючи ефект снігової кулі.
Для безпеки багато сервісів вимагають, щоб люди надавали спеціальний одноразовий пароль (OTP) кожного разу, коли вони входять в обліковий запис. Ці OTP генеруються “на льоту” і дійсні лише один раз, а також стають недійсними через короткий час.
Для зручності багато сайтів надсилають ці OTP на Ваш телефон у текстовому повідомленні. Це має свої ризики. От скажімо, що станеться, якщо зловмисник може отримати ваш номер телефону – або викравши телефон, або здійснивши заміну SIM-карти? Це дає цій особі майже безперешкодний доступ до вашого цифрового життя, включаючи банківські та фінансові рахунки.
Як працює атака підміни SIM-карти?
Отже, як працює атака підміни SIM-карти? Це залежить від того, як саме зловмисник обманює співробітника телефонної компанії в передачі Вашого номера телефону на SIM-карту, яку він або вона контролює. Це може статися або по телефону, або особисто в сервісному центрі.
Для цього зловмиснику потрібно трохи дізнатися про жертву. На щастя, соціальні медіа наповнені біографічними деталями, які, можливо, обдурять заходи безпеки. Такі дані, як Ваша перша школа, домашня тварина чи перше кохання та дівоче прізвище Вашої матері, швидше за все, можна знайти у ваших соціальних екаунтах – саме на них опираються мобільні оператори під час зміни даних (“кодове слово”). Звичайно, якщо це не вдасться дізнатися з відкритих джерел, завжди є фішинг.
Атаки підміни SIM-картки забирають багато часу та вимагають досить великих затрат людських ресурсів, тому вони більше підходять для цілеспрямованих атак на певну конкретну особу. В масовому порядку такі атаки провести досить важко та практично нерентабельно. Однак були приклади і більш-менш масових атак підміни SIM-карток. Одне бразильське організоване злочинне угруповання змогло за порівняно короткий проміжок часу клонувати картки приблизно 5000 жертв.
Атака типу “Порт-вихід” дуже схожа і передбачає викрадення Вашого телефонного номера шляхом переходу на іншого мобільного оператора.
Хто найбільше ризикує бути атакованим?
Атаки підміни SIM-картки, як правило, мають вражаючі результати, навіть враховуючи затрати часу та людських зусиль. Мотив майже завжди є фінансовим.
Останнім часом популярними мішенями стали рахунки на біржах криптовалют та гаманці. Ця популярність посилюється тим, що, на відміну від традиційних фінансових послуг, немає такого поняття, як повернення коштів за куплений/проданий біткойн. Транзакція не перевіряється посередником і її неможливо скасувати. Крім того, кожен може створити криптовалютний гаманець без реєстрації в банку. Саме з криптовалютою можна дійти до практично повної анонімності, коли йдеться про гроші, які треба відмити.
Одна відома жертва, яка пережила такий досвід крадіжки даних та криптовалюти, – інвестор Bitcoin Майкл Тарпін, який втратив 1500 біткойнів під час подібної атаки підміни SIM-картки. Це сталося за кілька тижнів до того, як біткойн досяг найвищого значення за весь час. На той час активи Тарпіна коштували понад 24 мільйони доларів.
Інший відомий випадок, коли журналіст ZDNet Меттью Міллер став жертвою атаки підміни SIM-картки – хакер спробував придбати біткойни на суму 25 000 доларів через банк, яким користувався Міллер. На щастя, банк зупинив транзакцію та повернув кошти. Однак, зловмисник все-таки зміг нашкодити Міллеру, захопивши та знищивши особисті дані журналіста, включаючи його екаунти в Google і Twitter.
Іноді метою атаки підміни SIM-картки є шантаж жертви або здійснення якоїсь “брудної” кампанії на замовлення. Зокрема, це сталося з засновником Twitter і Square, Джеком Дорсі, 30 серпня 2019 року хакери захопили його екаунт і розмістили на його каналі расистські та антисемітські заклики, які прочитали мільйони людей.
Як розпізнати атаку?
Перша ознака підміни SIM – це те, що Ваша SIM-карта втрачає доступ до всіх сервісів (але у телефоні вона ще може відображатися як підключена). Ви не зможете отримувати або надсилати повідомлення, здійснювати дзвінки або отримувати доступ до Інтернету відповідно до Вашого тарифу.
У деяких випадках ваш телефонний оператор може надіслати Вам SMS, що відбувається переміщення Вашого номера на нову SIM-карту.
Якщо Ви все ще маєте доступ до свого облікового запису електронної пошти, Ви також можете спостерігати дивну активність, зокрема сповіщення про зміни облікового запису та онлайн-замовлення, які Ви не робили.
Як слід реагувати?
Коли відбувається атака підміни SIM-картки, важливо вжити негайних рішучих дій, щоб не погіршити ситуацію.
По-перше, зателефонуйте у свої банківські та кредитні установи та попросіть заморозити рахунки. Це не дасть зловмиснику використовувати Ваші кошти для власних покупок. Оскільки Ви також фактично стали жертвою крадіжки посвідчення особи, також розумно звернутися до різних бюро та подати запит на поновлення кредитування, якщо Ви проживаєте у США або в іншій країні, де кредитна історія є важливою.
Потім спробуйте “випередити” зловмисників, перемістивши якомога більше облікових записів на новий, не скомпрометований обліковий запис електронної пошти. Від’єднайте свій старий номер телефону та використовуйте складні (і абсолютно нові) паролі. З приводу будь-яких облікових записів, до яких Ви не можете вчасно отримати доступ, зверніться до служби підтримки клієнтів.
Нарешті, Вам слід зв’язатися з поліцією та подати заяву про злочин. Усвідомте, що Ви – жертва кримінального злочину. Багато страхових полісів власників будинків у США та інших країнах включають захист від крадіжок особи. Подання заяви до поліції може допомогти Вам подати запит на страховку та отримати трохи грошей.
Як захистити себе від нападу?
Найкращий спосіб захиститися від атаки підміни SIM-картки – це просто не використовувати SMS на основі SMS 2FA. На щастя, є кілька переконливих альтернатив.
Ви можете використовувати програму аутентифікації на основі додатків, наприклад Google Authenticator. Для іншого рівня безпеки Ви можете придбати фізичний ключ аутентифікатора, наприклад YubiKey або Google Titan Key.
Читайте також: Експерт для Cybercalm: Як налаштувати приватність в екаунтах та безпеку пристроїв?
Якщо Ви зобов’язані використовувати двофакторну аутентифікацію за номером телефону (текстову або на основі дзвінків), варто розглянути можливість купити спеціальну SIM-карту, яку Ви більше не будете ніде використовувати. Інший варіант – використовувати номер Google Voice, хоча він недоступний у більшості країн.
На жаль, навіть якщо Ви використовуєте додаток 2FA або фізичний ключ безпеки, багато сервісів дозволять Вам обійти їх та відновити доступ до свого облікового запису за допомогою текстового повідомлення, надісланого на Ваш номер телефону. Такі сервіси, як Google Advanced Protection, пропонують більш безпечну альтернативу для людей, яким загрожують такі атаки – це “журналісти, активісти, керівники бізнесу та функціонери політичних партій”.
Як прив’язати SIM-картку до паспорта
Зазначимо, що насправді до паспорта прив’язується не сама “сімка”, а номер телефону, але при реєстрації вам потрібно підтвердити, що саме ви нею володієте, тобто її необхідно пред’явити співробітнику фірмового магазину МО. Такий метод може захистити від атаки підміни SIM, адже, щоб перевипустити СІМ-карту, потрібно буде особисто прийти в магазин оператора та показати документи.
Зверніть увагу: експерти з кібербезпеки рекомендують показувати фізичні документи, а не е-паспорт у “Дія” і процедуру реєстрації SIM-карти проводити наживо, а не віддалено.
Абонентам “Київстар”
МО дає можливість провести процес реєстрації СІМ-карти або у фірмовому салоні-магазині, або онлайн. У першому випадку потрібно буде прийти в салон, заповнити відповідну заяву, пред’явити оригінальний паспорт і оригінальний ІПН.
У разі онлайн-реєстрації :
- зайдіть у особистий кабінет “Мій Київстар”,
- виберіть номер свого мобільного,
- перейдіть на вкладку “Користувач”,
- виберіть спосіб реєстрації “за допомогою ЕЦП” (електронний цифровий підпис),
- скачайте ключ ЕЦП та введіть пароль,
- перевірте правильність ваших даних і підтвердіть реєстрацію.
Для абонентів “Vodafone Україна”
При реєстрації онлайн слід:
- перейти на registration.vodafone.ua
- ввести свій номер,
- підтвердити введені дані щодо коду в СМС,
- підтвердити особу за допомогою ЕЦП,
- заповнити анкету,
- підтвердити дані.
Також ви можете прийти до магазину МО, пред’явити SIM-картку та свій фізичний паспорт і пройти процедуру реєстрації.
Для абонентів lifecell
В онлайновому режимі необхідно:
- зайти на my.lifecell.ua, або — у додаток “Мій lifecell”,
- зайти до свого кабінету,
- перейти до “Основна інформація” — “Персональні дані” — “Реєстрація”.
В офлайновому режимі:
- відвідати салон МО,
- оформити заяву для фізичної особи,
- пред’явити оригінальний паспорт,
- підтвердити, що ви володієте SIM-карткою.
Якщо ви хочете ще більше убезпечити свій BankID, то придбайте нову СІМ-карту, прив’яжіть її до паспорта, а отриманим новим номером ні з ким, крім фінустанови, не діліться. Бажано також завести для цього інший смартфон.