SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к биткоин-бирже, социальным сетям и другим ценным приложениям.
Что такое SIM-свопинг?
Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона.
Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации.
Есть два основных метода сим-свопинга:
- в основе первого — социальная инженерия. Мошенник узнает данные жертвы, включая имя, номер паспорта и сам номер телефона. Затем он подкупает, заговаривает или обманывает сотрудника телекоммуникационной компании, чтобы получить новую сим-карту в замен старой. Например, показывает копию паспорта и доверенность на лицо жертвы. Естественно, потерпевший ничего не знает и в один момент просто получает неработающую сим-карту.
- второй — быть сотрудником поддержки оператора, сотрудником сервисного центра и любой другой компании, которая может получить доступ к вашей карте. Есть несколько программ для клонирования сим-карт без обращения к оператору.
Также к методам, не связанным непосредственно с копированием, относятся:
- перехват смс по протоколу SS7,
- установленная переадресация смс и звонков после взлома личного кабинета.
Отдельно про уязвимость SS7
Мы не будем посвящать этому отдельную статью, но вам также нужно знать про SS7 в контексте угона сим-карт.
Сигнализационная система №7 — это старый технический протокол. Он используется и для биллинга мобильной связи, и для смс, и для подключения вызовов. Много уязвимостей в SS7 было закрыто, но некоторые до сих пор остаются. История атак действительно богата, звонки перехватывали даже у крупных мировых политиков.
Атака идет примерно таким образом:
- злоумышленник подключается к сети,
- меняет служебные команды, параметры,
- измененная информация обращается к системе злоумышленника, она становится прослойкой между двумя сторонами.
Чем меньше развита кибер-безопасность в стране, тем легче получить доступ к этой сети. Часть инструментов, как всегда, находится на даркнет-рынках.
Ситуация в России
Все крупные мобильные операторы России заменяют сим-карту только при личном визите в офис со своим паспортом. Они также звонят владельцу, если кто-то приходит с заменой по доверенности. Переводы и банкинг запрещены на сутки, чтобы оградить от мошенничества. Тем не менее, это не защищает от злоумышленников полностью.
Во-первых, нужно надеяться на компетентных и честных сотрудников, которые не поддадутся уговорам и слезливым историям или не собираются продавать услугу замены карты на сторону.
Во-вторых, в интернете легко найти инструменты для копирования карты. Часто такие статьи размещаются с благой целью: создать себе дубликат на случай потери или для работы на двух телефонах. Но самое популярное использование таких программ совсем не в этом.
Редакция TJ связывалась с представителями «Мегафон» и «Билайн» о рисках копирования карт. Компании ответили, что таких случаев не было и для защиты от клонирования используется уникальный идентификатор. Тем не менее, несложно найти и программу для копирования Ki, по которому оператор проверяет подлинность карты. Мы не проверяли, насколько рабочие эти программы, но лишний уровень безопасности не помешает.
Как защититься от угона сим-карты?
У некоторых операторов можно подключить дополнительные услуги:
- «Запрет действий по нотариальной доверенности»,
- кодовое слово для смены,
- опция «Статус» для банков с геолокацией, информацией об устройстве и прочем.
Для криптовалют есть отдельные советы, кроме общих советов по безопасности:
- Заведите отдельное устройство с отдельной сим-картой для биржевых аккаунтов, а также с отдельной почтой и своими уникальными паролями. На этом устройстве должна быть отключена любая облачная синхронизация.
- Не используйте многофакторную аутентификацию, завязанную только на телефоне. Обязательно устанавливайте Google Authenticator, Microsoft Authenticator, Яндекс.Ключ или Authy. Поскольку они генерируются локально и не передаются по смс или электронной почте, они являются гораздо более надежными вариантами MFA.
- Если вы располагаете крупными суммами, есть смысл вложиться в аппаратный ключ в виде USB с токеном, чтобы проводить транзакции только с его помощью. Например, Yubico и Google Titan.
- Можно использовать Google Voice, который создает номер телефона, привязанный к учетной записи Google, а не к оператору связи.
- Естественно, устанавливайте PIN-код на карту. Сейчас смартфоны не требует этого, так что пин остается 0000. Это невероятно легкая добыча. Также устанавливайте пины и дополнительные пароли везде, где есть такая возможность.
- Закройте все счета на биржах, которые уже не используете. Так вы снизите шанс дать приманку хакерам.
