SIM swapping: почему двухфакторная аутентификация не гарантирует безопасность
Мошенничество с подменом SIM-карты – явление далеко не новое. У него много названий (port-out scam, SIM splitting, Smishing, simjacking, SIM swapping, подмена карт, клонирование SIM-карт и т.д.), но суть одна: мошенник переносит номер телефона жертвы на доступную ему SIM-карту или перевыпускает её, а затем использует в своих целях.
Так как сейчас SIM-карту можно заменить с помощью простой онлайн-заявки (например, такая опция есть у МТС), мошенникам не составит труда украсть ваш номер. Всё, что им нужно, – получить доступ к персональным данным. Это можно сделать с помощью взлома, фишинга или через частые в наше время сливы данных. Также можно купить их в даркнете или вступить в сговор с сотрудником банка, операторами связи и т.д.
Чего могут добиться люди после получения карты с номером телефона жертвы? Список может показаться внушительным, так что присядьте:
получение доступа к реквизитам карт и банковским счетам
использование аккаунтов в соцсетях
продажа доступа к номеру
кража криптовалюты
взлом почты
обман людей из списка ваших контактов
вымогательство и т.д.
Способов применения достаточно, так что потеря контроля над маленькой пластиковой карточкой может привести к очень большим проблемам.
Реальные случаи использования атаки
Так, например, в 2018 году с помощью подмены SIM-карты у главы компании Transform Group Майкла Терпина взломали криптокошелёк и украли 24 миллиона долларов в криптовалюте. Одним из мошенников стал 15-летний Эллис Пински. Он совершал преступления в составе группировки, которую собрали по сети с помощью Call of Duty.
Данные Терпина продал один из служащих телекоммуникационного холдинга AT&T, но суд так и не признал компанию виновной в утечке.
В 2020 Джозеф Джеймс О’Коннор, который в сети известен под псевдонимом «PlugwalkJoe», использовал SIM swapping для взлома аккаунтов несовершеннолетних жертв в TikTok и Snapchat. Сразу за взломом следовало сетевое преследование жертв.
Также О’Коннор признался во взломе аккаунтов американской звезды Ким Кардашьян, президента США Джо Байдена, гендиректора Tesla Илона Маска, создателя Microsoft Билла Гейтса и других именитых людей.
В 2021 году наблюдался настоящий взрыв активности мошенников, которые использовали SIM swapping для обмана и получения денег. Общая сумма таких краж только в США составила 68 миллионов долларов.
Также SIM swapping был основным методом взлома хакерской группировки Lapsus$. Она известна тем, что в ней состоят в основном подростки из Великобритании и Бразилии. Так как атака очень легка в исполнении, подростки смогли быстро её освоить и получить немало денег благодаря взломам и шантажу в Интернете.
Также в мае 2023 этой техникой пользовалась группировка UNC3944. Они взламывали учётные записи администраторов Microsoft Azure и получали доступ к виртуальным машинам.
Применяя всё ту же технику, в сентябре 2023 мошенники взломали аккаунт сооснователя криптовалюты и платформы Ethereum Виталика Бутерина в социальной сети X (бывший Twitter). Мошенники разместили пост от лица программиста и предложили всем перешедшим по ссылке бесплатные NFT. Ничего не подозревавшие жертвы переходили, пока взлом не раскрыли в окружении Бутерина. Всего за 20 минут злоумышленники успели похитить у пользователей около 691 тысячи долларов в криптовалюте.
Как понять, что вы стали жертвой?
Так как жертвой данной атаки может стать каждый, а мобильные операторы не защищают нас полностью, полезно знать признаки взлома, чтобы успеть вовремя отреагировать.
Внимание следует обратить на:
Странные уведомления об изменениях условий обслуживания или замене SIM-карты
Внезапные перебои со связью или её исчезновение: невозможность звонить или отвечать на звонки, отсутствие Интернета
Невозможность получить доступ к аккаунтам в банках, соцсетях, почте и т.д.
Странные сообщения и посты в соцсетях
Подозрительные транзакции
Что делать, если стали жертвой?
Если хотя бы один из признаков знаком вам, это повод для беспокойства. Лучше сразу же обратиться к своему оператору связи: он проверит подозрительную активность и при необходимости деактивирует SIM-карту.
Как избежать мошенничества?
К счастью, на любое действие найдётся противодействие. Так что просто выбросьте ваш телефон вместе с SIM-картой – и SIM swapping вам не страшен. Не хотите? Ладно, тогда вот парочка альтернатив:
Сходите в офис оператора и напишите заявление о запрете перевыпуска карты по доверенности
Опасайтесь фишинга и не оставляйте в Интернете конфиденциальных данных
Пользуйтесь для защиты аккаунтов не только номером телефона, но и другими средствами (PIN-кодами, контрольными вопросами, уникальными паролями и т.д.)
Используйте U2F-токены
Скачайте специальные приложения для аутентификации: они привязываются к физическому устройству, а не к телефонному номеру
Используйте для доступа к важным аккаунтам специальные SIM-карты, о которых никто не будет знать
Активируйте услугу обратного звонка, где это возможно: вам будут перезванивать, перед тем, как внести изменения в данные
Не злоупотребляйте аунтефикацией по номеру телефона, если есть другие варианты
Надеемся, вы уже используете хоть один способ для защиты, а если нет – самое время начать. Если же у вас возникнут вопросы или потребность в совете – пишите нам.
Мы всегда на страже.
Читайте также
Критики высоко оценили сериал по Fallout
Новинка явно пришлась посмотревшим по вкусу — сериал собрал целые 93% свежести на Rotten Tomatoes.