Це тип шахрайства, який дозволяє зловмисникам отримати доступ до всієї інформації, яку має людина на своєму смартфоні

Відомий як Викрадення SIM-карти тип шахрайства, коли злочинець зв’язується з компанією, що продає мобільні телефони, і видає себе за власника рахунку, щоб вимагати копію SIM-карт. Вони телефонують, кажучи, що вони загубили або не можуть знайти ту, яку мали, і що вони хочуть нову SIM-карту для своєї телефонної лінії.

вплинути

Коли це трапляється, оригінальна картка деактивується, а друга SIM-картка в руках злочинця залишається в робочому стані. Який великий ризик у цьому? Якщо власник лінії активував як другий фактор автентифікації SMS, злочинець почне отримувати всі токени, пов’язані з їх електронною поштою, соціальними мережами і навіть цифровими гаманцями на свій мобільний телефон.

Таким чином вони могли отримати доступ до всіх профілів та рахунків жертви, що могло призвести до крадіжки грошей та інформації. Користувачеві буде заблоковано всі скомпрометовані облікові записи, від Instagram або Gmail до електронних гаманців. Шкода може бути величезною.

Цей тип атаки також відомий як Обмін SIM-картками та вимагає попереднього розслідування злочинцем. Перш ніж зателефонувати телефонному оператору з проханням надіслати дублікат SIM-картки, він дослідить соціальні мережі та проаналізує Інтернет, щоб знайти персональні дані користувача - ІДН, адресу, повне ім'я Вас та Ваших родичів тощо -, які будуть служити для підтвердження Вашої особи коли ви звертаєтесь до оператора, щоб запитати нову SIM-карту.

Також можливо, що за допомогою різні техніки соціальної інженерії, злочинець отримує цю особисту інформацію безпосередньо від жертви. Практика отримання конфіденційної інформації шляхом маніпулювання законними користувачами відома як соціальна інженерія.

Це можна зробити по телефону або за допомогою повідомлень або електронних листів, коли злочинець видає себе за особу та просить користувача запропонувати свої дані або ввести їх в онлайн-формі, щоб виконати будь-яку передбачувану вимогу. Є тисячі виправдань, якими зловмисники можуть скористатися для отримання приватних даних.

Y Отримавши цю інформацію, ви також використаєте свою винахідливість, щоб обдурити телефонного оператора та змусити їх доставити другу SIM-карту. На цьому етапі слід зазначити, що можливість припинення цих атак безпосередньо пов’язана з механізмами перевірки особи, які пропонують телефонні компанії. Чим вони суворіші, коли йдеться про підтвердження того, що особа, яка запитує нову SIM-карту, є такою, якою вони кажуть, тим менша ймовірність організації цих обманів. Справа в тому, що ці процеси можуть провалитися.

Найбільш доцільним було б, щоб оператори не дублювали картку, якщо запит не зроблений особисто у відділенні та не пред'являє DNI. Це запобіжні заходи, які вживають деякі компанії, але не всі. І в контексті пандемії, коли застосовувались ізоляційні та карантинні заходи, не завжди було можливо здійснити цей запобіжний захід.

Є кілька випадків, коли в різних частинах світу користувачі ставали жертвами цього виду обману. Одним з найбільш поширених випадків є, мабуть, справа Джек Дорсі, співзасновник Twitter, який минулого року мав доступ до свого акаунта в цій соціальній мережі, викраденому за допомогою цього типу методів.

Слід розуміти, що в цьому випадку атака відбувається не через вразливість в апаратному забезпеченні або операційній системі, а скоріше через роботу збору інформації за допомогою різних методів соціальної інженерії злочинця. Отже, що робити? Ідеал - уникати, коли це можливо, використання SMS як другого фактора автентифікації.

Впроваджуючи цей механізм, як користувачі ми повинні обирати інші варіанти, наприклад, програми автентифікації: Authy, Google Authenticator або Okta Verify, серед багатьох інших.

Інший варіант - використовувати стільниковий телефон (не номер, а пристрій) як ключ безпеки. Існують також ключі U2F (універсальні ключі 2-го фактора), стандарт відкритої автентифікації, який вимагає використання фізичних ключів і включає реалізацію стандарту FIDO2.