Найти в Дзене
CryptoFox
2058 подписчиков

Как защититься от угона сим-карты?

1651
3 мин
SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к банкам, биржам, социальным сетям и другим ценным приложениям. Что такое SIM-свопинг? Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона. Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации. Есть два основных метода сим-свопинга: Также к методам, не связанным непосредственно с копированием, относятся: Ситуация в России Все крупные мобильные операторы Росс
Оглавление

SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к банкам, биржам, социальным сетям и другим ценным приложениям.

Что такое SIM-свопинг?

Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона.

Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации.

Есть два основных метода сим-свопинга:

  • в основе первого — социальная инженерия. Мошенник узнает данные жертвы, включая имя, номер паспорта и сам номер телефона. Затем он подкупает, заговаривает или обманывает сотрудника телекоммуникационной компании, чтобы получить новую сим-карту в замен старой. Например, показывает копию паспорта и доверенность на лицо жертвы. Естественно, потерпевший ничего не знает и в один момент просто получает неработающую сим-карту.
  • второй — быть сотрудником поддержки оператора, сотрудником сервисного центра и любой другой компании, которая может получить доступ к вашей карте. Есть несколько программ для клонирования сим-карт без обращения к оператору.

Также к методам, не связанным непосредственно с копированием, относятся:

  • перехват смс по протоколу SS7,
  • установленная переадресация смс и звонков после взлома личного кабинета.

Ситуация в России

Все крупные мобильные операторы России заменяют сим-карту только при личном визите в офис со своим паспортом. Они также звонят владельцу, если кто-то приходит с заменой по доверенности. Переводы и банкинг запрещены на сутки, чтобы оградить от мошенничества. Тем не менее, это не защищает от злоумышленников полностью.

Во-первых, нужно надеяться на компетентных и честных сотрудников, которые не поддадутся уговорам и слезливым историям или не собираются продавать услугу замены карты на сторону.

Во-вторых, в интернете легко найти инструменты для копирования карты. Часто такие статьи размещаются с благой целью: создать себе дубликат на случай потери или для работы на двух телефонах. Но самое популярное использование таких программ совсем не в этом.

Редакция TJ связывалась с представителями «Мегафон» и «Билайн» о рисках копирования карт. Компании ответили, что таких случаев не было и для защиты от клонирования используется уникальный идентификатор. Тем не менее, несложно найти и программу для копирования Ki, по которому оператор проверяет подлинность карты. Мы не проверяли, насколько рабочие эти программы, но лишний уровень безопасности не помешает.

Как защититься от угона сим-карты?

У некоторых операторов можно подключить дополнительные услуги:

  • «Запрет действий по нотариальной доверенности»,
  • кодовое слово для смены,
  • опция «Статус» для банков с геолокацией, информацией об устройстве и прочем.

Для трейдеров есть отдельные советы, кроме общих советов по безопасности:

  • Заведите отдельное устройство с отдельной сим-картой для биржевых аккаунтов, а также с отдельной почтой и своими уникальными паролями. На этом устройстве должна быть отключена любая облачная синхронизация.
  • Не используйте многофакторную аутентификацию, завязанную только на телефоне. Обязательно устанавливайте Google Authenticator, Microsoft Authenticator, Яндекс.Ключ или Authy. Поскольку они генерируются локально и не передаются по смс или электронной почте, они являются гораздо более надежными вариантами MFA.
  • Если вы располагаете крупными суммами, есть смысл вложиться в аппаратный ключ в виде USB с токеном, чтобы проводить транзакции только с его помощью. Например,  Yubico и Google Titan.
  • Можно использовать Google Voice, который создает номер телефона, привязанный к учетной записи Google, а не к оператору связи.
  • Естественно, устанавливайте PIN-код на карту. Сейчас смартфоны не требует этого, так что пин остается 0000. Это невероятно легкая добыча. Также устанавливайте пины и дополнительные пароли везде, где есть такая возможность.
  • Закройте все счета на биржах, которые уже не используете. Так вы снизите шанс дать приманку хакерам.
2
Кибербезопасность
25,6 тыс интересуются