Atacurile de schimbare de SIM sunt un nou pericol de care să te ferești. După cum știm, multe conturi de Instagram au fost accesate în mod ilegal de către hackeri în ultima perioadă. AT&T se judecă într-un proces de aproximativ 220 de milioane de dolari pe fondul a ceea acestui fenomen.
Pentru aceste lucruri, schimbul de SIM este problema. Aceasta este o înșelătorie a hackerilor prin care îți pot fura identitatea mobilă și o pot întoarce împotriva ta.
Atacurile de schimbare de SIM – Ce înseamnă mai exact
O schimbare de SIM este atunci când cineva îți poate convinge operatorul să-ți schimbe numărul de telefon pe o cartelă SIM pe care persoana o deține. Hackerii nu folosesc metoda asta pentru lucruri mărunte, ci pentru a-ți fura datele importane.
Prin redirecționarea mesajelor primite, aceștia pot completa cu ușurință verificările pentru autentificarea în doi pași. În cazul în care nu ai activă această verificare, se pot folosi de numărul tău de telefon pentru a păcăli serviciile și pentru a-ți afla parolele.
„Dacă un hacker SIM calificat te are în vizor, nu prea ai ce să-i faci pentru a-l opri. În majoritatea cazurilor pe care le-am văzut, un atacator suficient de hotărât poate prelua amprenta online a cuiva.„, spune Allison Nixon, o cercetătoare în amenințări de la firma de securitate Flashpoint.
Ce victime au făcut până acum hackerii
Atacurile de schimbare de SIM stau la baza unui șir lung de conturi sparte de Instagram. Chiar și la întâmplarea nefericită în care un hacker a postat nuduri cu Justin Bieber luate din contul Selenei Gomez anul trecut.
Alt caz este cel al unui investitor în criptomonede, care a afirmat că a fost victima unui astfel de atac. Atacul a dus la furtul de jetoane în valoare de 23,8 milioane de dolari. Investitorul a dat în judecată operatorul AT&T.
De asemenea, Motherboard a arătat recent o serie de incidente în care hackerii au sustras mii de dolari din conturile de verificare ale oamenilor, folosind această metodă.
Cum ai putea deveni victima unor atacuri de schimbare de SIM
Trucurile din spatele schimbului de SIM nu pot fi controlate. O igienă perfectă de securitate nu va împiedica mereu un operator din a se lăsa păcălit de hackeri. Uneori nici nu este nevoie de un operator pentru a face asta.
Flashpoint a găsit câteva indicii care sugerează faptul că hackerii recrutează lucrători din magazinele mobile pentru a avea acces la conturile protejate ale clienților.
Pentru a găsi o soluție completă împotriva schimbului de SIM ar necesita o regândire totală a rolului numerelor de telefon. „Numerele de telefon nu au fost niciodată destinate să fie o modalitate de a confirma identitatea cuiva. Companiile de telefonie nu au fost niciodată în poziția de a vinde documente de identitate. Li s-a impus asta.„, spune Nixon.
Chiar și așa, există câteva metode pentru a reduce riscul unui astfel de atac al hackerilor asupra datelor tale.
Folosește un cod PIN
Fiecare operator din SUA oferă opțiunea de a pune un cod PIN sau o parolă pentru contul tău. Având acest PIN, înseamnă un alt strat de protecție și o altă informație de care atacatorul are nevoie înainte de a-ți compromite datele. Totuși, nu va ajuta împotriva unei amenințări ce provine din interior.
Deși uneori este o bătaie de cap să-ți aduci aminte un cod PIN pe care îl folosești destul de rar, este totuși necesar. „Mulți oameni au dezactivată această opțiune pentru că, dacă nu-și pot aminti PIN-ul, nu pot merge într-un magazin local Verizon să obțină un telefon nou.„, spune Chet Wisniewski, un om de știință al firmei de securitate Sophos.
„Dacă poți activa un cod PIN cu operatorul tău de telefonie mobilă pentru a împiedica manipularea numărului, ar trebui s-o faci. Notează parola. Nimeni nu va intra în casă ca să-ți fure carnețelul de sub lenjerie, din sertarul secret din dormitor.”
Cum procedează operatorii americani cu codurile PIN
Pe AT&T, poți configura o parolă wireless, care are între 4 și 8 cifre. Parola te duce apoi la informațiile de conectare, după care la obținerea unei parole noi. De asemenea, poți adăuga ceea ce operatorul numește securitate suplimentară.
Securitatea suplimentară înseamnă o parolă prin care îți poți gestiona contul online sau într-un magazin retail. Poți găsi opțiunea la informațiile de conectare, apoi la parola wireless și pe urmă la gestionarea securității suplimentare.
Verizon procedează altfel. Acesta îți cere un cod PIN, dar pentru a-l seta sau pentru a-l schimba, e nevoie să intri pe site, să te loghezi, să introduci codul PIN ales de tine de două ori, apoi dai trimitere și totul e în regulă.
La T-Mobile, trebuie să apelezi la 611 și să ceri adăugarea validării portului pentru cont. Validarea îți permite să alegi un cod PIN format din 6 până la 15 cifre.
La Sprint este și mai ușor. Trebuie doar să te conectezi la cont, click pe My Sprint, apoi la profil și securitate. Acolo vei găsi opțiunea pentru informații de securitate de unde îți poți actualiza codul PIN.
Folosește o verificare în doi pași mai bună
Obținerea codurilor de autentificare prin SMS în doi pași este bună, dar nu suficientă în cazul unui atac SIM. Și totuși, cum va funcționa? Printr-o aplicație de autentificare.
Aplicații precum Google Authenticator și Authy îți vor oferi această protecție în plus, la fel cum o face și autentificarea în doi pași. De asemenea, protecția aplicațiilor nu se oprește doar la numărul de telefon oferit de operatori, ci și la securitatea fizică a telefonului.
Acestea îți arată un cod format din 6 cifre care se actualizează la fiecare 30 de secunde și rămâne într-o sincronizare constantă cu orice serviciu pe care dorești să-l conectezi.
Cum ții și mai bine la distanță atacurile de schimbare de SIM
Poți opta pentru o metodă fizică a verificării în doi pași, cum este Yubikey. Aceste mici brelocuri se conectează la portul USB al calculatorului tău și te ajută să-ți verifici identitatea.
„Dacă ai activat un token fizic și o parolă, dar ai dezactivat mesajele, atunci cineva va trebui să-ți fure cheile pentru a afla datele. Acest lucru ridică miza la un alt nivel.„, spune Wisniewski.
Din păcate, nu toate serviciile permit o verificare în doi pași mai sigură. Instagram este una dintre aplicațiile care nu permit momentan asta, dar spun că lucrează la extinderea opțiunilor de verificare.
Alte măsuri suplimentare pe care le poți folosi
Dacă un hacker are un număr de telefon asociat cu câteva dintre conturile tale online, acesta ar putea ocoli cumva verificarea în doi pași. Așadar, revenind la problema folosirii numărului de telefon pentru identificare.
„Dacă există vreun lucru anume de care ești conștient că un hacker și l-ar dori, cum ar fi contul bancar sau averile în bitcoin sau chiar și numele de utilizator pe o rețea de social media, păstrează-le cât mai departe de identitatea ta online.„, spune Nixon.
Pentru serviciile care necesită un număr de telefon ca un fel de înregistrare, îl poți schimba într-un număr Google Voice. Wisniewski spune că această soluție nu ar funcționa pentru cei mai mulți dintre noi, din moment ce majoritatea aplicațiilor leagă numărul de telefon cu contul.
Vigilența este, de asemenea, o soluție
Chiar dacă nu sună prea promițătoare această soluție, vigilența se regăsește împotriva atacului SIM. Dacă telefonul se oprește brusc sau nu mai poți trimite sau primi mesaje, este clar un atac SIM. Cu cât acționezi mai repede, cu atât este mai bine pentru datele tale.
„Provocarea pe care o avem este că acești dezvoltatori de aplicații au nevoie de un identificator universal și decid că numerele de telefon sunt potrivite pentru orice. Nu dorim cărți de identitate naționale și nu dorim nici o autoritate centrală de autentificare.” afirmă Wisniewski.
Acesta a mai confirmat că dezvoltatorii au încercat să găsească ceva ce pot folosi pentru identificare și au ales numărul de telefon pentru a face asta, care nu este prea sigur.
