Τρίτη, 23 Φεβρουαρίου, 03:43
Αρχική security Ευρώπη: Ανησυχητική αύξηση περιστατικών SIM Swapping απάτης!

Ευρώπη: Ανησυχητική αύξηση περιστατικών SIM Swapping απάτης!

Τον Μάρτιο του 2020, η Europol ανακοίνωσε ότι είχε συλλάβει δεκάδες ανθρώπους που ήταν ύποπτοι για αποστράγγιση τραπεζικών λογαριασμών, την οποία πραγματοποιούσαν με παραβίαση των αριθμών τηλεφώνου των θυμάτων μέσω SIM Swapping απάτης. Η Εθνική Αστυνομία της Ρουμανίας (Poliția Română) και η Αυστριακή Υπηρεσία Εγκληματολογικών Πληροφοριών (Bundeskriminalamt), με την υποστήριξη της Europol, διεξήγαγαν οκτάμηνη έρευνα που είχε ως αποτέλεσμα τη σύλληψη 14 μελών μιας εγκληματικής συμμορίας που “άδειασε” τραπεζικούς λογαριασμούς σε διάφορες χώρες στην Ευρώπη, όπως η Αυστρία, αποκτώντας τον έλεγχο των αριθμών τηλεφώνου των θυμάτων, με SIM Swapping απάτη.

Ευρώπη-SIM Swapping απάτη

Ο τρόπος με τον οποίο λειτουργεί αυτή η συμμορία SIM Swapping απάτης στην Ευρώπη είναι απλός. Συγκεκριμένα, αφού αποκτούσαν τον έλεγχο του αριθμού τηλεφώνου ενός θύματος, οι χάκερς χρησιμοποιούσαν τα κλεμμένα τραπεζικά credentials για να συνδεθούν σε μια τραπεζική εφαρμογή, με στόχο να δημιουργήσουν μια συναλλαγή ανάληψης χρημάτων, την οποία στη συνέχεια επικύρωναν με κωδικό πρόσβασης μίας χρήσεως, που στελνόταν από την τράπεζα μέσω SMS, επιτρέποντάς τους την ανάληψη χρημάτων από ΑΤΜ χωρίς κάρτα.


Εκτιμάται ότι αυτή η συμμορία που είχε ως επίκεντρο την Ευρώπη, κατάφερε να κλέψει πάνω από μισό εκατομμύριο λίρες από ανυποψίαστους ιδιοκτήτες τραπεζικών λογαριασμών. Αυτή η υπόθεση, παράλληλα με μια άλλη έρευνα που πραγματοποίησε η Europol τον Ιανουάριο του 2020, όπου ύποπτοι σε ολόκληρη την Ισπανία φέρονταν ως μέλη ενός κυκλώματος που έκλεψε πάνω από 3 εκατομμύρια λίρες σε μια σειρά SIM Swapping επιθέσεων, υπογράμμισαν την αυξανόμενη συχνότητα αυτού του φορέα επίθεσης.


Καθώς η SIM Swapping απάτη απαιτεί σημαντική προσπάθεια και κόστος από τους επιτιθέμενους, παρατηρείται ότι στοχεύονται όλο και περισσότερα άτομα που κατέχουν θέσεις κύρους και επιρροής τόσο στην Ευρώπη όσο και έξω από αυτήν. Είναι σημαντικό λοιπόν, να γίνει κατανοητή η μέθοδος αυτών των επιθέσεων. Σε αυτό το σημείο είναι χρήσιμο να αναφερθεί η πιθανή φόρμουλα της επίθεσης αλλά και πώς μπορεί κάποιος να καταλάβει αν έχει δεχτεί SIM Swapping απάτη.

SIM Swapping απάτη

Οι επιθέσεις συνήθως χρησιμοποιούν εκβιασμό, δωροδοκία ή social engineering ενός υπαλλήλου παρόχου υπηρεσιών κινητής τηλεφωνίας, για να αξιοποιήσουν την πρόσβασή τους σε πληροφορίες πελατών ή ακόμα και στο ίδιο το δίκτυο κινητής τηλεφωνίας. Μια άλλη μέθοδος είναι η κατασκευή ενός προφίλ του στόχου που περιέχει επαρκείς PII (προσωπικά αναγνωρίσιμες πληροφορίες) για την αυθεντική πιστοποίηση στον φορέα κινητής τηλεφωνίας του στόχου. Αυτό μπορεί να επιτευχθεί μέσω παραβιάσεων δεδομένων του παρόχου υπηρεσιών ή μέσω της συλλογής παραβιάσεων δεδομένων PII. Τα σημάδια της επίθεσης είναι ότι τα επηρεαζόμενα τηλέφωνα δεν μπορούν να πραγματοποιήσουν ούτε να λάβουν κλήσεις και πιθανώς δεν έχουν πρόσβαση σε υπηρεσίες έκτακτης ανάγκης. Επιπλέον, οι εισβολείς αναλαμβάνουν διαδικτυακούς λογαριασμούς που ανήκουν στον συνδρομητή. Επίσης, ενδέχεται να εμφανιστούν αναπάντεχα μηνύματα ή email που αφορούν επαναφορά κωδικού πρόσβασης, συνδέσεις λογαριασμού ή αλλαγές αριθμού τηλεφώνου, πριν από την επιτυχή ανάληψη.

Πώς μπορούν να μετριαστούν οι SIM Swapping επιθέσεις;

Η ανησυχητική πτυχή για οποιαδήποτε SIM Swapping απάτη είναι το γεγονός ότι το θύμα συνήθως δεν έχει κάνει κάτι που δεν θα έπρεπε, οπότε, από αυτή την άποψη, είναι δύσκολο να είναι κάποιος πολύ προσεκτικός. Για παράδειγμα, δεν έχει κάνει κλικ σε κάποιον σύνδεσμο που περιλαμβανόταν σε ένα phishing email, ούτε έχει κατευθυνθεί σε κάποιο ψεύτικο site. Απλά το τηλέφωνό του σταμάτησε να λειτουργεί. Το πρόβλημα πιθανότατα προέκυψε επειδή ένας υπάλληλος στην εταιρεία κινητής τηλεφωνίας εξαπατήθηκε από τον εισβολέα για να επανεκδώσει την κάρτα SIM, η οποία στη συνέχεια χρησιμοποιήθηκε από τον χάκερ για την ανάληψη του αριθμού.

Ωστόσο, υπάρχουν τρόποι για την αποφυγή τέτοιων επιθέσεων. Είναι σημαντικό για τα άτομα να δημιουργήσουν έναν κωδικό PIN για τον λογαριασμό κινητής τηλεφωνίας τους. Αυτό μπορεί να προσθέσει ένα προστατευτικό όριο για επιθέσεις που έχουν στοχεύσει τις PII τους. Δυστυχώς, αυτό δεν προστατεύσει από επιθέσεις που πραγματοποιούνται με τη βοήθεια malicious insiders.

απάτη

Μια άλλη επιλογή είναι να δοθεί προτεραιότητα σε εφαρμογές ελέγχου ταυτότητας έναντι ελέγχου ταυτότητας δύο παραγόντων που βασίζεται σε SMS. Εφαρμογές όπως το Google Authenticator, το Okta και το Authy μπορούν να συσχετιστούν με μια περιφερειακή συσκευή, όχι μόνο έναν αριθμό τηλεφώνου.

Ένα πλεονέκτημα, εκτός από το ότι δεν έχει παραβιαστεί ένα μήνυμα SMS, είναι ότι το άτομο θα έχει όλους τους κωδικούς σε μια κεντρική τοποθεσία και ότι είναι αυτοί διαθέσιμοι συνέχεια, ακόμα και όταν το τηλέφωνο είναι offline.

Άλλοι τρόποι μετριασμού SIM Swapping επιθέσεων περιλαμβάνουν επίσης τη χρήση ενός φυσικού κλειδιού ελέγχου ταυτότητας για κρίσιμους λογαριασμούς και τη διασφάλιση επαγρύπνησης, καθώς η σημαντική διακοπή της υπηρεσίας, όπως η αποτυχημένη παράδοση μηνυμάτων, πρέπει να αντιμετωπιστεί επειγόντως με την αναφορά της κατάστασης στον πάροχο υπηρεσιών, την παρακολούθηση των κωδικών πρόσβασης των online λογαριασμών και τον έλεγχο των συναλλαγών τραπεζικών λογαριασμών.

Με τα περιστατικά SIM Swapping απάτης να αυξάνονται ανησυχητικά, ενώ παράλληλα σημειώνονται εγκληματικές δραστηριότητες που εκμεταλλεύονται την πανδημία του COVID-19, είναι σημαντικό να επισημανθεί ότι το SIM Swapping είναι ένας βασικός λόγος για τον οποίο ένας αριθμός τηλεφώνου μπορεί να μην είναι ο καλύτερος επαληθευτής της ταυτότητας ενός ατόμου, καθώς αντιπροσωπεύει μια “τρύπα” στη διαδικασία ελέγχου ταυτότητας. Τέλος, η προσθήκη επιπέδων προστασίας θα μπορούσε να συμβάλει στην προστασία της ταυτότητας και των λογαριασμών των ατόμων από κυβερνοεγκληματίες.

1 ΣΧΟΛΙΟ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

00:03:39

Η κορυφαία λίστα παιχνιδιών του Xbox Game Pass για το 2021

https://www.youtube.com/watch?v=zJLiVBYFACw Μία από τις κορυφαίες πλατφόρμες με παιχνίδια για το Xbox και το PC σας σε προνομιακή...

Η τιμή του Bitcoin μειώθηκε κατά 10.000$ σε 24 ώρες

Μετά από εβδομάδες σταθερών κερδών, η τιμή του Bitcoin έπεσε κατακόρυφα. Περισσότερα από 10.000...

iPhone/iPad: Πως να διαγράψετε με αυτόματο τρόπο παλιά μηνύματα text

Από προεπιλογή, το iPhone και το iPad σας αποθηκεύουν κάθε μήνυμα text iMessage και SMS που λαμβάνετε. Ως αποτέλεσμα, θα μπορούσατε να...

Tesla: Το μεγαλύτερο σύστημα μπαταριών στον κόσμο δείχνει πρόοδο

Ένα νέο βίντεο που τράβηξε ένα drone δείχνει ότι η Tesla σημειώνει πρόοδο προς την ολοκλήρωση στο έργο Moss Landing Megapack που...

Η SonicWall κυκλοφορεί πρόσθετο update για την ευπάθεια SMA 100

Η SonicWall κυκλοφόρησε ένα δεύτερο firmware update για μια ευπάθεια zero-day SMA-100 που είναι γνωστό ότι χρησιμοποιείται σε επιθέσεις και προειδοποιεί λέγοντας...

Κινέζοι χάκερ κλωνοποίησαν εργαλείο που ανήκει στο Equation Group της NSA

Κινέζοι χάκερ "κλωνοποίησαν" και χρησιμοποιούσαν για χρόνια ένα zero-day exploit των Windows που κλάπηκε από το Equation Group της NSA, λένε οι...

Το Underwriters Laboratories (UL) δέχτηκε επίθεση ransomware

Το UL LLC, γνωστό ως Underwriters Laboratories, υπέστη μια επίθεση ransomware κατά την οποία κρυπτογραφήθηκαν οι servers του και αναγκάστηκε να κλείσει...

Διέρρευσε εικόνα των AirPods τρίτης γενιάς‌ της Apple

Μια εικόνα που ισχυρίζεται ότι απεικονίζει τα AirPods τρίτης γενιάς‌ της Apple, διέρρευσε στο διαδίκτυο. Την εικόνα κοινοποίησε το 52audio. Σε αυτήν...

Kroger: Η παραβίαση δεδομένων εκθέτει δεδομένα υπαλλήλων

Η γιγαντιαία αλυσίδα σούπερ μάρκετ Kroger υπέστη παραβίαση δεδομένων μετά την παραβίαση μιας υπηρεσίας που χρησιμοποιήθηκε για τη μεταφορά αρχείων με ασφάλεια...

Νέο feautre του Chrome για iOS κλειδώνει Incognito καρτέλες με Face ID

Το Google Chrome για iOS αποκτά μια νέα λειτουργία απορρήτου που επιτρέπει στους χρήστες να κλειδώνουν τις ανοιχτές καρτέλες Incognito και να...