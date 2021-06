Eksperci zajmujący się kwestiami cyberbezpieczeństwa ostrzegają przed mało znaną, a niebezpieczną metodą kradzieży naszej tożsamości, a co za tym idzie, uzyskaniem dostępu do naszego konta bankowego. Metoda nosi nazwę SIM swappingu (podmiana karty SIM) i polega na zdalnej podmianie naszej karty SIM poprzez zastosowanie metod socjotechniki.

Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych czy firmową stroną internetową - to tylko niektóre potencjalne skutki przechwycenia przez hakerów karty SIM. Jak się okazuje, do przeprowadzenia całej operacji przestępcy potrzebują naprawdę niewiele. Co potrzeba? Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w mediach społecznościowych.

W przeprowadzonym przez przedstawicieli ESET w Wielkiej Brytanii eksperymencie występująca w roli "przestępcy" osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM "ofiary". W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM. Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN "ofiary" eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić na podstawie postów z mediów społecznościowych.

- Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami, a z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych to główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych - mówi Kamil Sadkowski, starszy analityk zagrożeń ESET.

Po pozytywnej weryfikacji przeprowadzający test specjalista podał szczegółowy - oczywiście zmyślony - opis w jaki sposób telefon został skradziony oraz informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał stosownej zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie "ofiara" zauważyłaby tylko, że zanikł sygnał sieciowy ismsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi. W kolejnych krokach, korzystając m.in. z uwierzytelniania dwuetapowego opartego na wiadomościach SMS, "przestępca" mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.

SIM swapping - jak się bronić?

Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM.

- Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny.

- Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.

- Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Warto również zwracać uwagę, aby nie być zbyt otwartym w mediach społecznościowych. Biorąc na cel nową ofiarę, cyberprzestępcy dokładnie przeglądają wszelkie informacje dostępne o niej w świecie wirtualnym. Dlatego dobrym nawykiem jest ograniczanie zasięgu postów, które publikujemy, szczególnie tych zawierających wrażliwe czy osobiste informacje.

