Uwaga na "SIM swapping". Można stracić oszczędności i nie tylko
SIM swapping, czyli przejęcie karty SIM i oszustwa z tym związane to realne zagrożenie, które może dotyczyć każdego z nas. Eksperci wyjaśniają, na co trzeba uważać i jakie mogą być konsekwencje, gdy padniemy ofiarą cyberataku.
- To realne i zyskujące na sile zagrożenie. Każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki - przestrzegają eksperci ds. cyberbezpieczeństwa ESET.
Chociaż coraz więcej słyszy się o tym, że przestępcy dzięki SIM swappingu przejmują kontrolę nad kontami bankowymi, mediami społecznościowymi czy stronami internetowymi, to często mamy wrażenie, że ten problem nas nie dotyczy. Niestety, nic bardziej mylnego.
- Do przeprowadzenia takiej operacji przestępcy potrzebują naprawdę niewiele. Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść - podkreślają eksperci. W większości przypadków te dane można łatwo znaleźć w internecie, np. poprzez media społecznościowe.
Eksperci ESET przeprowadzili w Wielkiej Brytanii eksperyment mający na celu określenie, jak łatwo jest dokonać przejęcia karty SIM. Osoba, która odgrywała "przestępcę" skontaktowała się z operatorami sieci komórkowych i poprosiła o wydanie nowej karty SIM, ponieważ poprzednia rzekomo została skradziona.
Do uwiarygodnienia swojej tożsamości potrzebne był tylko dwie cyfry z numeru PIN. Ten, na potrzeby eksperymentu, zawierał datę urodzenia ofiary. Takie informacje bardzo łatwo zdobyć np. śledząc posty na portalu społecznościowym.
- Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców - zauważa Kamil Sadkowski, starszy analityk zagrożeń ESET.
Po dokonaniu prawidłowej weryfikacji operator bez problemu dokonał wymiany karty SIM. Tym sposobem numer telefonu użytkownika stał się własnością "przestępcy". Na tym etapie "ofiara" zauważyłaby tylko, że zanikł sygnał sieciowy i żadne SMS-y nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi.
"Przestępca" jednak miał już łatwą drogę do uzyskania m.in. dostępu do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej. Wystarczyło ustawić dwuetapową weryfikację logowania z pomocą wiadomości SMS.
Eksperci podkreślają, że by udaremnić przestępcom atak polegający na zamianie karty SIM, należy pamiętać o kilku rzeczach:
- Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny;
- nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy;
- tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, np. korzystając z aplikacji zainstalowanej na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucza sprzętowego (bezpieczniejsza opcja niż dwie poprzednie).