Свопинг (подмена) SIM-карт становится все проще благодаря утечкам, которые связывают адреса электронной почты и номера мобильных телефонов. Давайте подробнее рассмотрим, как проводится этот тип атак, почему он так популярен, и что вы можете предпринять, чтобы предотвратить его в будущем.

В каждом мобильном телефоне есть специальная карта, называемая модулем идентификации абонента (SIM). Эти карты бывают трех разных размеров: большие, средние и маленькие (есть для них другие названия, но для простоты будем говорить так). В новейших телефонах самые маленькие карточки — размером с ноготь мизинца, если у вас маленькие пальцы. Если у вас самая маленькая SIM-карта, вы все равно можете поместить ее в лоток для своего старого телефона благодаря картонным адаптерам, которые прилагаются, если вам когда-либо придется покупать новую карту.

Собственно, есть четвертая версия SIM-карты — виртуальная SIM-карта или eSIM — которую можно найти в новейших моделях смартфонов. Это позволяет использовать в телефоне две SIM-карты, например, когда вы путешествуете за границу (помните те дни?) и хотите иметь местный номер и второго оператора мобильной связи в другой стране.

 

Как работает своп

Независимо от размера или формы SIM-карты, ее компрометация — относительно простая задача — поэтому атака так популярна. Мошенники звонят вашему оператору мобильной связи и говорят, что ваш телефон потерян или вы уронили его, и он не работает. Они просят оператора активировать новую SIM-карту с вашим номером телефона на своем телефоне. Если они звучат достаточно убедительно (или если они нашли кого-то в операторе связи, кому можно дать взятку, чтобы выполнить их приказ), вы труп. Потому что после того, как обмен произведен, вы не получите никаких сообщений, звонков или других данных. Все, что связано с вашим номером мобильного телефона, который для многих из нас является нашим единственным номером телефона, является легкой добычей для взломщика. На этом этапе мошенник может изменить ваш адрес электронной почты и внести изменения в вашу банковскую и кредитную информацию, выдав себя за вас.

Если вы думаете, что эта уловка звучит слишком невероятно, подумайте еще раз. Группа исследователей из Принстонского университета изучила основных операторов сотовой связи США, а также 140 различных веб-сайтов. Все операторы связи и 17 из этих веб-сайтов оказались уязвимыми. Конечно, это было сделано в течение 2019 года, но, тем не менее, обзор полученного документа — это пугающий и разочаровывающий анализ того, насколько неэффективными могут быть предполагаемые средства защиты со стороны операторов связи в руках хитрого хакера с хорошей историей.

Например, некоторые операторы связи запрашивают личную информацию (например, платежные реквизиты в вашей учетной записи), но дают хакерам рекомендации, если они неправильно угадали свой первый ответ. Исследователи также опубликовали таблицу, в которой документируются различные веб-сайты и указывается, были ли должным образом защищены. К сожалению, эта таблица не так устарела, как вы могли подумать. Хотя инновации происходят быстро в некоторых областях технологий, это не одна из них.

 

Как предотвратить будущие атаки

Операторы добились некоторого прогресса в свопинге SIM-карт. Основные операторы США объявили об усилиях по созданию собственного приложения для аутентификации смартфонов, которое теперь доступно как Zenkey.

Как предлагает FTC, одна из первых линий защиты — лучше понимать, что может пойти не так. Они правильно рекомендуют вам не отвечать на звонки или текстовые сообщения с запросом вашей личной информации. Никогда. Даже такой безобидный текст, как текст уведомления о доставке, может оказаться вредным, если вы нажмете на встроенную ссылку.

Во-вторых, вам следует попробовать переключить второй фактор аутентификации с SMS на приложения для аутентификации, такие как Google Authenticator и Authy. Хотя это может быть неприятным упражнением, оно имеет большое значение для остановки свопов. Кроме того, не полагайтесь на Facebook, Google или Twitter для аутентификации вас при входе в другие службы — вам следует настроить отдельный процесс аутентификации с уникальными паролями. Чтобы отслеживать сбор паролей, используйте диспетчер паролей, чтобы создавать сложные пароли, которые вам не нужно запоминать и вводить повторно.

Наконец, еще один способ помешать потенциальным злоумышленникам получить контроль — это ввести дополнительный пароль в вашу учетную запись мобильного телефона. Как выяснила команда Принстонского университета, проблема заключается в том, что сотрудников центра обработки вызовов телефонной компании можно легко убедить обойти эту защиту. В рассказе Мэтью Миллера также есть много советов о том, что делать, если вы стали жертвой атаки с заменой SIM-карты.

 

Оригинал материала

6 мая, 2021