SIM Swapping to pułapka. W ten sposób można stracić pieniądze

Jedną z popularniejszych metod oszustów jest tzw. SIM Swapping. Chodzi o duplikowanie kart SIM, w efekcie czego atakujący zyskuje dostęp do powiadomień wysyłanych do ofiary. To nic innego, jak ominięcie uwierzytelniania dwuetapowego - przynajmniej tego realizowanego przez kody z wiadomości SMS.

Karta SIM
Karta SIM
Źródło zdjęć: © Pixabay
Oskar Ziomek

Jak nietrudno się domyślić, SIM Swapping prowadzi nie tylko do utraty danych. Co prawda od momentu wyrobienia duplikatu karty SIM wszystkie połączenia i SMS-y trafiają do telefonu oszusta, ale poważniejszym zagrożeniem jest połączenie tego ataku z innymi, np. wyłudzeniem danych logowania do mediów społecznościowych czy bankowości internetowej. Wówczas kody SMS niezbędne do 2FA lub uwierzytelniania transakcji trafią prosto w ręce oszustów. To otwarta droga do utraty pieniędzy z konta bankowego.

Wyrobienie duplikatu karty SIM zaczyna się od kontaktu atakującego z operatorem komórkowym. Niezbędne jest więc najpierw zdobycie danych o numerze i samej ofierze, ale jak się okazuje nie ma z tym większego problemu. Podczas rozmowy z konsultantem oszust musi bowiem podszyć się pod ofiarę, podając szereg danych. "Cyberprzestępcy mogą dowiedzieć się na kilka sposobów, z jakiego operatora korzysta dana osoba oraz zebrać publicznie dostępne informacje z mediów społecznościowych, wykorzystać wiadomości phishingowe lub darknet" - tłumaczy dla dobrychprogramów Luis Corrons z firmy Avast.

Jak poznać, czy ktoś zduplikował naszą kartę SIM i posługuje się nią, aby popełnić inne oszustwa? Najłatwiej zauważyć to po nieuprawnionym dostępie do kont w mediach społecznościowych lub komunikatorach, podejrzanej aktywności na koncie bankowym, a w samym telefonie - po braku sieci i niemożliwości wykonania połączeń (po wyrobieniu duplikatu karty SIM przez oszusta, oryginał jest blokowany przez operatora). Później pozostaje już tylko kontakt z operatorem i bankiem, by wyjaśnić całą sprawę:

Natychmiast zgłoś nadużycie swojemu operatorowi komórkowemu, aby odzyskać kontrolę nad swoim numerem telefonu. Powinieneś również zgłosić nadużycie swojemu bankowi, nawet jeśli Twoje konto nie zostało naruszone. Kolejnym ważnym krokiem jest wyłączenie kodów uwierzytelniania dwuskładnikowego, które są wysyłane za pośrednictwem wiadomości SMS i zmiana ustawień kodów 2FA, które mają być wysyłane do aplikacji.

Luis CorronsSecurity Evangelist w firmie Avast

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (57)