Как потерять телефон, не выпуская его из рук

Атака SIM Swapping позволяет преступнику присвоить ваш номер телефона и получить доступ ко всем вашим учетным записям.



Что такое SIM-карта?
SIM расшифровывается как модуль идентификации абонента (Subscriber Identity Module) и представляет из себя маленькую съемную чип-карту, которая вставляется в телефон. Каждая SIM-карта уникальна и привязана к вашему номеру. Вы можете вставить SIM-карту в другой телефон, а ваш номер и все данные аккаунта будут перенесены на новое устройство.
[HEADING=2]Как происходит подмена SIM-карты? [/HEADING]
SIM Swapping начинается с того, что злоумышленник связывается с вашим оператором мобильной связи, выдавая себя за вас. Он может сказать, что него есть новая SIM-карта для активации аккаунта, а телефон и старая SIM-карта потерялись или повредились. Оператор мобильной связи, скорее всего, запросит некоторую информацию для проверки личности, например, PIN-код, указанные вами контрольные вопросы или *****************.

После проверки личности киберпреступник может переназначить ваш номер телефона на свою SIM-карту. По сути, он отвязал номер от вашего телефона и привязал его к своей SIM-карте. При этом злоумышленник может сбросить пароли от всех ваших аккаунтов и пройти любую двухфакторную аутентификацию. В результате мошенник может получить доступ ко множеству учетных записей, электронной почте, платежным системам, соцсетям, онлайн-магазинам и т.д.

Как преступник узнает *****************?
За последние годы произошли тысячи утечек данных с миллиардами записей, которые включают в себя платежные данные, *****************, имена, email-адреса, пароли, номера телефонов, адреса проживания и даты рождения клиентов множества компаний.

Например, в 2020 году произошла утечка ***************** участников онлайн голосования, однако, были раскрыты только серия и номер паспорта, по которым идентифицировать владельца напрямую невозможно. Но сопоставив цифры с другими утечками, можно легко идентифицировать гражданина.

Как преступник узнает PIN-код?
По мнению исследователей кибербезопасности, существует высокая вероятность того, что ваш PIN-код совпадает с датой рождения, адресом проживания или почтовым индексом. Эти данные также могут содержаться в утечках, и киберпреступник сможет попытаться подобрать PIN-код.

Если мошенник все-таки не смог определить верный PIN-код, он просто скажет оператору связи, что «установил этот PIN-код очень давно и уже не помнит его». Поэтому оператор попросит назвать *****************, которые уже есть у злоумышленника. Перенос SIM-карты занимает несколько минут. После этого вы больше не сможете активировать аккаунт на телефоне.
[HEADING=2]Как узнать, что вашу SIM-карту подменили? [/HEADING]
Есть несколько явных признаков того, что вы стали жертвой этой атаки:

• Текстовые сообщения и звонки перестают работать;
• Вы получаете электронные письма об изменениях в учетной записи;
• Вы обнаружили, что ваши аккаунты в соцсетях взломаны;
• Мошенник будет списывать деньги с вашей карты.

Если вы наблюдаете все эти действия, сообщите об этом своему оператору мобильной связи.

Как я могу предотвратить подмену SIM-карты?
На этот вопрос нет конкретного ответа, но есть несколько мер, которые вы можете предпринять для повышения защиты:

1. Сбросьте PIN-код в своем мобильном аккаунте. Выберите надежный, сложный PIN-код, который будете знать только вы. Не используйте информацию, которая может оказаться в утечке данных – адрес, дата рождения, серия и номер паспорта и т.д.
2. Настройте приватность аккаунтов в соцсетях. В крупной утечке данных Facebook (является продуктом компании Meta, которая признана экстремистской и запрещена на территории РФ) в 2021 году не были украдены учетные данные, а собранная информация была извлечена из открытых профилей. Сделайте личную информацию доступной только для вас или доверенным друзьям.
3. Используйте приложение для двухфакторной аутентификации, которое не использует SMS-сообщения.
4. Узнайте у оператора связи, как он сможет защитить вас от подмены SIM-карты. Ваш оператор может иметь уже надежную защиту. Клиенты имеют право и должны активно требовать улучшения средств защиты, чтобы компания реализовала их.

Источник​