BТ

SIM swapping: почему двухфакторная аутентификация не гарантирует безопасность

Мошенничество с подменом SIM-карты – явление далеко не новое. У него много названий (port-out scam, SIM splitting, Smishing, simjacking, SIM swapping, подмена карт, клонирование SIM-карт и т.д.), но суть одна: мошенник переносит номер телефона жертвы на доступную ему SIM-карту или перевыпускает её, а затем использует в своих целях.

Так как сейчас SIM-карту можно заменить с помощью простой онлайн-заявки (например, такая опция есть у МТС), мошенникам не составит труда украсть ваш номер. Всё, что им нужно, – получить доступ к персональным данным. Это можно сделать с помощью взлома, фишинга или через частые в наше время сливы данных. Также можно купить их в даркнете или вступить в сговор с сотрудником банка, операторами связи и т.д.

Чего могут добиться люди после получения карты с номером телефона жертвы? Список может показаться внушительным, так что присядьте:

  • получение доступа к реквизитам карт и банковским счетам

  • использование аккаунтов в соцсетях

  • продажа доступа к номеру

  • кража криптовалюты

  • взлом почты

  • обман людей из списка ваших контактов

  • вымогательство и т.д.

Способов применения достаточно, так что потеря контроля над маленькой пластиковой карточкой может привести к очень большим проблемам.

Реальные случаи использования атаки

Так, например, в 2018 году с помощью подмены SIM-карты у главы компании Transform Group Майкла Терпина взломали криптокошелёк и украли 24 миллиона долларов в криптовалюте. Одним из мошенников стал 15-летний Эллис Пински. Он совершал преступления в составе группировки, которую собрали по сети с помощью Call of Duty. 

Данные Терпина продал один из служащих телекоммуникационного холдинга AT&T, но суд так и не признал компанию виновной в утечке.

В 2020 Джозеф Джеймс О’Коннор, который в сети известен под псевдонимом «PlugwalkJoe», использовал SIM swapping для взлома аккаунтов несовершеннолетних жертв в TikTok и Snapchat. Сразу за взломом следовало сетевое преследование жертв.

Также О’Коннор признался во взломе аккаунтов американской звезды Ким Кардашьян, президента США Джо Байдена, гендиректора Tesla Илона Маска, создателя Microsoft Билла Гейтса и других именитых людей.

В 2021 году наблюдался настоящий взрыв активности мошенников, которые использовали SIM swapping для обмана и получения денег. Общая сумма таких краж только в США составила 68 миллионов долларов.

Также SIM swapping был основным методом взлома хакерской группировки Lapsus$. Она известна тем, что в ней состоят в основном подростки из Великобритании и Бразилии. Так как атака очень легка в исполнении, подростки смогли быстро её освоить и получить немало денег благодаря взломам и шантажу в Интернете.

Также в мае 2023 этой техникой пользовалась группировка UNC3944. Они взламывали учётные записи администраторов Microsoft Azure и получали доступ к виртуальным машинам.

Применяя всё ту же технику, в сентябре 2023 мошенники взломали аккаунт сооснователя криптовалюты и платформы Ethereum Виталика Бутерина в социальной сети X (бывший Twitter). Мошенники разместили пост от лица программиста и предложили всем перешедшим по ссылке бесплатные NFT. Ничего не подозревавшие жертвы переходили, пока взлом не раскрыли в окружении Бутерина. Всего за 20 минут злоумышленники успели похитить у пользователей около 691 тысячи долларов в криптовалюте.

Как понять, что вы стали жертвой?

Так как жертвой данной атаки может стать каждый, а мобильные операторы не защищают нас полностью, полезно знать признаки взлома, чтобы успеть вовремя отреагировать.

Внимание следует обратить на:

  • Странные уведомления об изменениях условий обслуживания или замене SIM-карты

  • Внезапные перебои со связью или её исчезновение: невозможность звонить или отвечать на звонки, отсутствие Интернета

  • Невозможность получить доступ к аккаунтам в банках, соцсетях, почте и т.д.

  • Странные сообщения и посты в соцсетях

  • Подозрительные транзакции

Что делать, если стали жертвой?

Если хотя бы один из признаков знаком вам, это повод для беспокойства. Лучше сразу же обратиться к своему оператору связи: он проверит подозрительную активность и при необходимости деактивирует SIM-карту.

Как избежать мошенничества?

К счастью, на любое действие найдётся противодействие. Так что просто выбросьте ваш телефон вместе с SIM-картой – и SIM swapping вам не страшен. Не хотите? Ладно, тогда вот парочка альтернатив:

  • Сходите в офис оператора и напишите заявление о запрете перевыпуска карты по доверенности

  • Опасайтесь фишинга и не оставляйте в Интернете конфиденциальных данных

  • Пользуйтесь для защиты аккаунтов не только номером телефона, но и другими средствами (PIN-кодами, контрольными вопросами, уникальными паролями и т.д.)

  • Используйте U2F-токены

  • Скачайте специальные приложения для аутентификации: они привязываются к физическому устройству, а не к телефонному номеру

  • Используйте для доступа к важным аккаунтам специальные SIM-карты, о которых никто не будет знать

  • Активируйте услугу обратного звонка, где это возможно: вам будут перезванивать, перед тем, как внести изменения в данные

  • Не злоупотребляйте аунтефикацией по номеру телефона, если есть другие варианты

Надеемся, вы уже используете хоть один способ для защиты, а если нет – самое время начать. Если же у вас возникнут вопросы или потребность в совете – пишите нам.

Мы всегда на страже.

Читайте также

ЭИ

Как пополнить аккаунт Steam, когда QIWI перестал работать

3 способа – простой, тоже простой и совсем сложный.

ЭТ

Как не стать жертвой мошенников, покупая криптовалюту на биржах

Покупая криптовалюту на P2P, вы рискуете сильнее, чем обычно – ведь переводите деньги напрямую другому человеку. И банк вас в этом случае не защитит.

ЭТ

Samsung выпустила очень милые «панда-наушники»

Но купить их будет сложно, поскольку они будут продаваться только в Южной Корее.

ЭИ

В сеть выложили якобы утёкший трейлер Marvel’s Wolverine

Однако по качеству анимации и использованию лицензионной музыки зрители предположили, что это фанатская работа. 

ЭК

«Человек-Паук: Паутина вселенных» – лучший мультфильм 2023 года, и другие победители Annie Awards

А «Голубоглазый самурай» стал лучшим анимационным сериалом для взрослых.