SIM swapping - to realne zagrożenie również dla Ciebie!

Eksperci ostrzegają: każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki!

SIM swapping to po polsku po prostu "przejęcie karty SIM". Związane z tym procederem oszustwa to kategoria przestępstw, o których co prawda od czasu do czasu słyszymy, ale zazwyczaj uważamy, że nas nie dotyczą. To błąd, gdyż niektóre potencjalne skutki przejęcia przez hakerów karty SIM to między innymi przejęcie kontroli nad kontami bankowości elektronicznej lub firmową stroną internetową. Co potrzeba, aby przejąć SIM? Niewiele - prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chce się okraść. A dane tego typu łatwo znaleźć w sieci.

Przedstawiciele ESET przeprowadzili w Wielkiej Brytanii eksperyment: występująca w roli "przestępcy" osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM "ofiary". Informowała o rzekomej kradzieży telefonu, a w związku z tym chciała uzyskać kopię karty SIM. Aby potwierdzić tożsamość, należało podać dwie cyfry z numeru PIN - a ponieważ wchodzą w niego cyfry wchodzące w skład daty urodzin, było to proste. Datę urodzin można było ustalić na podstawie postów z mediów społecznościowych.

Zobacz również:

  • Uwaga! Nadal odnotowywane są duże ilości kradzieży przez podmianę kart SIM
  • Najlepsze antywirusy na Maca 2021

Po pozytywnej weryfikacji "przestępca" opowiadał wymyśloną historię o kradzieży oraz informował, że kupił nową kartę SIM i wymaga ona aktywacji. Operator nie widział przeciwwskazań i w ten sposób numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Czy prawdziwy właściciel odczułby to? Tak, ale niekoniecznie wiedziałby, co się dzieje - na jego telefonie nie trafiałyby SMS-y, a sygnał sieciowy niespodziewanie by znikł, choć nadal można korzystać z Wi-Fi. Dla przestępcy dostęp do numeru umożliwia przejście weryfikacji dwuetapowych, stosowanych m.in. przy logowaniu na konto bankowe czy do mediow społecznościowych.

Kamil Sadkowski, starszy analityk zagrożeń ESET, wyjaśnia:

Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami, a z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych to główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych

Jak się bronić? ESET doradza:

  • Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych
  • lub członków rodziny.
  • Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.
  • Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Grafika: Tracy Le Blanc/Pexels