W tym artykule zamierzamy omówić jeden z najgorszych oszustw związanych z kartą SIM: wymiana karty SIM. Jeśli Twój telefon komórkowy nie jest już objęty ochroną, obawiaj się: wykorzystywane jest nowe oszustwo telefoniczne znane jako “ zamiana karty SIM ”, aby cyberprzestępca kopiował nasz numer telefonu i używał tego systemu do przywłaszczania sobie naszej tożsamości, uwierzytelniania się w naszym banku i okradania nas wszystkie pieniądze.
Prezes Twittera padł ofiarą oszustw związanych z kartami SIM
Istnieją już ofiary oszustwa, które zostało wykorzystane do innych celów: Jackowi Dorseyowi, współzałożycielowi Twittera, skradziono konto usługi w tym samym systemie, co po raz kolejny podkreśla słabość mechanizmów, takich jak wiadomości SMS dla dwóch osób. systemy uwierzytelniania krokowego. Początkowo były dobrą opcją, ale jak powiedzieliśmy w przeszłości, znacznie bardziej wskazane jest stosowanie niezależnych aplikacji uwierzytelniających, a nie SMS-ów, które są coraz bardziej narażone na ataki w tym obszarze.
Czego NIE NALEŻY robić, aby zapobiec wymianie karty SIM?
Występują tu dwa wyraźne problemy: po pierwsze, zamówienie duplikatu karty SIM jest stosunkowo proste. Po drugie, wykorzystanie SMS-ów jako systemu proponującego uwierzytelnianie dwuetapowe lub dwuskładnikowe (2FA) od dawna było podatne na różne ataki, a to tylko ostatni – ale prawdopodobnie najbardziej niepokojący – z nich wszystkich. .
To technika umożliwia obejście środków bezpieczeństwa, które stawiają telefon komórkowy jako narzędzie weryfikacji naszej tożsamości, co jest niebezpieczne, jak widzieliśmy w sferze gospodarczej, ale także w wielu innych scenariuszach.
Tymczasowo wyłączamy możliwość wysyłania tweetów przez SMS-y lub wiadomości tekstowe, aby chronić konta ludzi.
– Wsparcie Twittera (@TwitterSupport) 4 września 2019 r
Zostało to zademonstrowane w dzisiejszych czasach, gdy współzałożyciel i dyrektor generalny Twittera Jack Dorsey doznał podobnego ataku, który nagle spowodował obraźliwe i rasistowskie wiadomości na jego koncie na Twitterze (@jack), które później zostały usunięte.
Wymiana karty SIM może skutkować kradzieżą tożsamości
Problem wynikał z kradzieży tożsamości, która spowodowała, że operator telefoniczny w Stanach Zjednoczonych – nie określono, który z nich – umożliwił atakującemu uzyskanie duplikatu karty SIM Dorsey, co z kolei umożliwiło atakującemu skorzystanie z funkcji Posting na Twitterze za pośrednictwem wiadomości SMS była jedną z pierwotnych funkcji usługi.
Obraźliwe wiadomości wywołały natychmiastową reakcję Dorsey, która ogłosiła, że Twitter blokuje dostarczanie wiadomości do platformy za pośrednictwem SMS-ów.
Zabezpiecz się przed wymianą karty SIM: jak zapobiec zamianie karty SIM?
Problem z tym cyberatakiem polega na tym, że ma on dwie szeroko odseparowane twarze, obie z własnym, współzależnym rozwiązaniem: jeśli nie uda się ich rozwiązać, problem będzie się powtarzał.
Pierwsza dotyczy tych, którzy mają do czynienia z tymi informacjami, czyli operatorów, którzy powinni być dużo bardziej wymagający, jeśli chodzi o dostarczenie duplikatów karty SIM. W tym miejscu weryfikacja tożsamości powinna być kompleksowa, aby uniknąć problemów, które wystąpiły w takich przypadkach.
Banki, instytucje finansowe i wszelkie inne platformy, które nadal używają SMS-ów jako dwuetapowego systemu uwierzytelniania, również mają oczekujące obowiązki. Jest to popularna i wygodna metoda, ale jak widzieliśmy, jest bardzo podatna na ataki przez długi czas, jak zauważył ekspert ds. Bezpieczeństwa Bruce Schneier. Z tego powodu wszystkie te firmy powinny usuwać SMS-y ze swoich systemów uwierzytelniania w dwóch etapach i stosować inne alternatywy.
Użyj 2FA / U2F przeciwko atakowi wymiany karty SIM
Wśród najbardziej polecanych obecnie są aplikacje uwierzytelniające, które zastępują SMS-y i mogą być instalowane na naszych telefonach komórkowych. Do najbardziej znanych należą Microsoft Authenticator, Google Authenticator czy Authy, a jeśli możemy z nich korzystać – platforma, na której pracujemy, musi obsługiwać tę opcję – są one znacznie bezpieczniejsze niż uwierzytelnianie za pomocą wiadomości SMS.
Jeszcze bardziej interesujące są klucze U2F (Universal 2nd Factor keys), otwarty standard uwierzytelniania, który wykorzystuje klucze fizyczne i który ma standard FIDO2 jako ostatnią implementację. Producenci tacy jak Yubico są dobrze znani z tych rozwiązań, ale nawet Google ostatnio chciał wejść w ten segment ze swoimi kluczami bezpieczeństwa Titan, chociaż niedawno ogłosił, że telefon z Androidem może również stać się kluczem bezpieczeństwa.