Posiadanie prywatnego numeru telefonu komórkowego jest w obecnie powszechne. Podstawową funkcjonalnością jest oczywiście możliwość komunikacji z innymi osobami, jednak z upływem czasu numer telefonu zaczął zyskiwać także inne zastosowania. Rozwój portali społecznościowych czy bankowości elektronicznej wymusił wdrożenie dodatkowych zabezpieczeń, ponieważ w dobie współczesnego internetu nierzadko mamy do czynienia z aktywnością cyberprzestępców. Uznano, że telefon jest bezpiecznym narzędziem do uwierzytelniania użytkownika lub autoryzacji jego działań. Czy słusznie?
Telefon niezbędny do funkcjonowania w sieci
Dobrym przykładem stosowania telefonu jako zabezpieczenia jest bankowość elektroniczna i bardzo popularne jednorazowe kody SMS. Używane są one m.in. do autoryzacji przelewów, aktualizacji danych personalnych w systemie bankowym czy potwierdzania operacji zaciągnięcia kredytu.
Podczas logowania się użytkownika do popularnych serwisów internetowych, np. serwisów aukcyjnych, następuje uwierzytelnienie dwuskładnikowe, które również wykorzystuje numer telefonu. Należy także wspomnieć o możliwości zmieniania haseł do portali społecznościowych, kont pocztowych czy rozwiązań chmurowych.
SIM Swap – o co chodzi?
SIM Swap to kradzież numeru telefonu i wykorzystanie go do zawłaszczenia pieniędzy z rachunku bankowego lub przejęcia konta w serwisie internetowym. Ten typ ataku może nastąpić w wyniku wyłudzenia duplikatów karty SIM. Przestępcy udają się do salonu operatora komórkowego podszywając się pod ofiarę, na temat której już wcześniej zebrali informacje niezbędne do potwierdzenia tożsamości. Pozyskują je przy pomocy złośliwego oprogramowania, phishingu lub przeglądu danych na portalach społecznościowych). Zazwyczaj oszuści posługują się sfałszowanym dowodem osobistym. Udowodniono też, że możliwe jest uzyskanie duplikatu karty SIM u niektórych operatorów zdalnie (wystarczy zgrabna historyjka i znajomość numeru PESEL).
Innym rodzajem ataku typu SIM Swap jest umyślne działanie nieuczciwego pracownika operatora sieci komórkowej. Podobnie polega na przeniesieniu numeru telefonu z karty ofiary na kartę, którą będzie posiadał złodziej. Różnica w tym, że nieuczciwy pracownik operatora sieci robi to świadomie. Będąc w kontakcie z cyberprzestępcami jest w stanie przepisać numer telefonu ofiary na inną kartę SIM w wewnętrznym systemie operatora.
Aby stać się ofiarą oszustwa SIM Swap nie trzeba nawet posiadać pieniędzy na koncie bankowym. Jeżeli udostępniono numer telefonu jako element uwierzytelnienia w serwisach społecznościowych czy w poczcie e-mail, również należy liczyć się z tym zagrożeniem. Przejęcie konta e-mail oraz dostęp do komunikatorów z prywatnymi konwersacjami może być przyczyną wielu, nie tylko finansowych, ale i wizerunkowych, strat.
Bolesne skutki
Przykładem ataku SIM Swap jest przypadek klienta mBanku. Oszuści zduplikowali kartę SIM ofiary i następnie zlecili przelew kliku tysięcy złotych. Kradzież tym razem się nie powiodła, ponieważ jeden z pracowników banku wykonał telefon do ofiary i zapytał o przeprowadzoną transakcję. Pieniądze zostały zablokowane do wyjaśnienia na odrębnym rachunku bankowym.
Historia zna przypadki utraty ponad 20 milionów dolarów w wyniku jednego ataku typu SIM Swap[1]. Jeden z amerykańskich inwestorów utracił taką kwotę w bitcoinach. Przestępcy przejęli kontrolę nad jego telefonem. Następnie zmienili hasło w usługach Google i otrzymali dzięki temu dostęp do portfela z kryptowalutami. Później okazało się, że dwóch sprawców dokonało podobnych kradzieży na łącznie ponad 100 milionów dolarów.
W Europie rozbito dwa gangi tzw. SIM Swaperów, którzy ukradli kilka milionów euro. Jeden z gangów kradł pieniądze poprzez autoryzację przelewów za pośrednictwem skradzionych numerów telefonów. Drugi wykorzystywał inną metodę. Oszustwo opierało się na wygenerowaniu kodu służącego do jednorazowej wypłaty w bankomacie. Kod ten mógł być wygenerowany po autoryzacji telefonicznej SMS, z numeru który został skradziony.
Jak zapobiegać SIM Swap?
Ze względu na specyfikę ataku typu SIM Swap, możemy sami wykryć, że ktoś próbuje nas okraść. Objawem jest – w przypadku każdej z wyżej opisanych metod – niedziałająca karta SIM. Jeżeli próba wyciągnięcia karty oraz ponownego uruchomienia telefonu nie daje skutku, należy szybko skontaktować się z operatorem sieci komórkowej. Podstawowy problem jest taki, że przestępcy bardzo szybko podejmują wrogie działania i możemy się o nich dowiedzieć za późno.
Aby zminimalizować ryzyko kradzieży naszego numeru telefonu, należy uważać na wszystkie odmiany phishingu oraz unikać udostępniania w sieci numeru, w szczególności tego, który służy do autoryzacji transakcji bankowych (np. przy ogłoszeniach). Warto unikać instalowania aplikacji mobilnych z nieznanych źródeł (chociaż i te znane, jak sklep Google Play, mogą uraczyć nas sfałszowanymi aplikacjami imitującymi np. bankowość mobilną dużych instytucji). Stosując się do tych podstawowych zasad bezpieczeństwa ograniczamy możliwości cyberprzestępców.
Niestety na razie nie możemy liczyć na lepszą ochronę ze strony telekomów. Brak też odpowiednich regulacji.
[1] https://krebsonsecurity.com/2021/12/ny-man-pleads-guilty-in-20-million-sim-swap-theft/
