SIM-свопинг: как защититься от угона сим-карты?

1585
Просмотры

SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к биткоин-бирже, социальным сетям и другим ценным приложениям.

Что такое SIM-свопинг?

Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона.

Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации.

Есть два основных метода сим-свопинга:

  • в основе первого — социальная инженерия. Мошенник узнает данные жертвы, включая имя, номер паспорта и сам номер телефона. Затем он подкупает, заговаривает или обманывает сотрудника телекоммуникационной компании, чтобы получить новую сим-карту в замен старой. Например, показывает копию паспорта и доверенность на лицо жертвы. Естественно, потерпевший ничего не знает и в один момент просто получает неработающую сим-карту.
  • второй — быть сотрудником поддержки оператора, сотрудником сервисного центра и любой другой компании, которая может получить доступ к вашей карте. Есть несколько программ для клонирования сим-карт без обращения к оператору.

Также к методам, не связанным непосредственно с копированием, относятся:

  • перехват смс по протоколу SS7,
  • установленная переадресация смс и звонков после взлома личного кабинета.

Отдельно про уязвимость SS7

Мы не будем посвящать этому отдельную статью, но вам также нужно знать про SS7 в контексте угона сим-карт.

Сигнализационная система №7 — это старый технический протокол. Он используется и для биллинга мобильной связи, и для смс, и для подключения вызовов. Много уязвимостей в SS7 было закрыто, но некоторые до сих пор остаются. История атак действительно богата, звонки перехватывали даже у крупных мировых политиков.

Атака идет примерно таким образом:

  • злоумышленник подключается к сети,
  • меняет служебные команды, параметры,
  • измененная информация обращается к системе злоумышленника, она становится прослойкой между двумя сторонами.

Чем меньше развита кибер-безопасность в стране, тем легче получить доступ к этой сети. Часть инструментов, как всегда, находится на даркнет-рынках.

Ситуация в России

Все крупные мобильные операторы России заменяют сим-карту только при личном визите в офис со своим паспортом. Они также звонят владельцу, если кто-то приходит с заменой по доверенности. Переводы и банкинг запрещены на сутки, чтобы оградить от мошенничества. Тем не менее, это не защищает от злоумышленников полностью.

Во-первых, нужно надеяться на компетентных и честных сотрудников, которые не поддадутся уговорам и слезливым историям или не собираются продавать услугу замены карты на сторону.

Во-вторых, в интернете легко найти инструменты для копирования карты. Часто такие статьи размещаются с благой целью: создать себе дубликат на случай потери или для работы на двух телефонах. Но самое популярное использование таких программ совсем не в этом.

Редакция TJ связывалась с представителями «Мегафон» и «Билайн» о рисках копирования карт. Компании ответили, что таких случаев не было и для защиты от клонирования используется уникальный идентификатор. Тем не менее, несложно найти и программу для копирования Ki, по которому оператор проверяет подлинность карты. Мы не проверяли, насколько рабочие эти программы, но лишний уровень безопасности не помешает.

Как защититься от угона сим-карты?

У некоторых операторов можно подключить дополнительные услуги:

  • «Запрет действий по нотариальной доверенности»,
  • кодовое слово для смены,
  • опция «Статус» для банков с геолокацией, информацией об устройстве и прочем.

Для криптовалют есть отдельные советы, кроме общих советов по безопасности:

  1. Заведите отдельное устройство с отдельной сим-картой для биржевых аккаунтов, а также с отдельной почтой и своими уникальными паролями. На этом устройстве должна быть отключена любая облачная синхронизация.
  2. Не используйте многофакторную аутентификацию, завязанную только на телефоне. Обязательно устанавливайте Google Authenticator, Microsoft Authenticator, Яндекс.Ключ или Authy. Поскольку они генерируются локально и не передаются по смс или электронной почте, они являются гораздо более надежными вариантами MFA.
  3. Если вы располагаете крупными суммами, есть смысл вложиться в аппаратный ключ в виде USB с токеном, чтобы проводить транзакции только с его помощью. Например,  Yubico и Google Titan.
  4. Можно использовать Google Voice, который создает номер телефона, привязанный к учетной записи Google, а не к оператору связи.
  5. Естественно, устанавливайте PIN-код на карту. Сейчас смартфоны не требует этого, так что пин остается 0000. Это невероятно легкая добыча. Также устанавливайте пины и дополнительные пароли везде, где есть такая возможность.
  6. Закройте все счета на биржах, которые уже не используете. Так вы снизите шанс дать приманку хакерам.