Το SIM swapping είναι μια αρκετά συχνή μορφή επίθεσης στον κυβερνοχώρο. Τα τελευταία χρόνια έχουν αναφερθεί πολλά περιστατικά απάτης SIM swap, που στοχεύουν κυρίως στην κλοπή credentials και χρημάτων.
Ας δούμε αναλυτικά τι ακριβώς είναι αυτό και πώς λειτουργεί:
Το SIM swapping, γνωστό και ως SIM jacking, αναφέρεται στην παράνομη απόκτηση πρόσβασης στον αριθμό του κινητού τηλεφώνου κάποιου άλλου ατόμου με σκοπό τον έλεγχό του. Συμβαίνει, συνήθως, όταν ένας εγκληματίας πείθει τον πάροχο κινητής τηλεφωνίας σας να μεταφέρει τον αριθμό τηλεφώνου σας σε μια άλλη κάρτα SIM, που ανήκει στον επιτιθέμενο.
Για να το πετύχει αυτό, ο απατεώνας χρησιμοποιεί τεχνικές social engineering, προσποιούμενος ότι είναι ο πραγματικός πελάτης και ισχυρίζεται συνήθως ότι η αρχική κάρτα SIM έχει καταστραφεί ή χαθεί. Ο υπάλληλος της εταιρείας πραγματοποιεί το αίτημα του πελάτη και αυτό ήταν! Ο απατεώνας αποκτά τον έλεγχο του αριθμού.
Δείτε επίσης: Ποιες είναι οι χειρότερες hacking επιθέσεις όλων των εποχών;
Είναι ενδιαφέρον ότι οι εγκληματίες δεν χρειάζεται καν να έχουν προηγμένες τεχνικές γνώσεις για να διεξάγουν την επίθεση — αρκούν μια κάρτα SIM και μια τηλεφωνική κλήση στον πάροχο σας.
Οι εγκληματίες χρησιμοποιούν, συνήθως, μια από τις ακόλουθες μεθόδους για την πραγματοποίηση της επίθεσης:
- Οι εγκληματίες δωροδοκούν ή εκβιάζουν έναν υπάλληλο εταιρείας τηλεπικοινωνιών για να συμμετάσχει στο έγκλημα.
- Οι υπάλληλοι συμμετέχουν με τη θέλησή τους, εκμεταλλεύονται την πρόσβαση στα δεδομένα των πελατών και βοηθούν τους εγκληματίες.
- Οι υπάλληλοι εξαπατούν συνεργάτες τους από άλλα υποκαταστήματα της εταιρείας και βάζουν εκείνους να κάνουν την ανταλλαγή της κάρτας SIM.
Σε περίπτωση που ο υπάλληλος δεν γνωρίζει ότι πρόκειται για απάτη, οι επιτιθέμενοι θα πρέπει να δώσουν ορισμένες προσωπικές πληροφορίες, αλλά αυτό στις μέρες μας είναι αρκετά εύκολο, αν λάβουμε υπόψη τον όγκο των προσωπικών πληροφοριών που είναι διαθέσιμες στους λογαριασμούς μας στα μέσα κοινωνικής δικτύωσης.
Επιπλέον, οι επιτιθέμενοι μπορούν να λάβουν τις απαραίτητες πληροφορίες από βάσεις δεδομένων με παραβιασμένα στοιχεία χρηστών.
Με αυτές τις πληροφορίες, οι εγκληματίες του κυβερνοχώρου μπορούν να εξαπατήσουν τους υπαλλήλους των υπηρεσιών κινητής τηλεφωνίας ώστε να αλλάξουν τον αριθμό που είναι συνδεδεμένος με την κάρτα SIM και να τον μεταφέρουν σε άλλη συσκευή.
Με την ενεργοποίηση της νέας κάρτας SIM, η παλαιά κάρτα αυτόματα απενεργοποιείται και οι υπηρεσίες κινητής τηλεφωνίας (κλήσεις, SMS, πρόσβαση στο διαδίκτυο) πραγματοποιούνται εφεξής από την καινούργια κάρτα που λειτουργεί με τον ίδιο αριθμό.
Τι προσφέρει μια SIM swapping επίθεση στον απατεώνα;
Τα πράγματα είναι πολύ απλά: Ο επιτιθέμενος κερδίζει πρόσβαση σε λογαριασμούς και σημαντικά δεδομένα σας.
Η κάρτα SIM αποτελεί είσοδο για πολλές βασικές υπηρεσίες. Ο αριθμός τηλεφώνου είναι απαραίτητος για να λαμβάνετε κλήσεις και μηνύματα και είναι πιθανότατα συνδεδεμένος με λογαριασμούς τραπεζών, email, social media accounts κλπ.
Συχνά, οι χρήστες ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων για να προστατεύσουν τους λογαριασμούς τους. Ο έλεγχος ταυτότητας περιλαμβάνει τη χρήση ενός μοναδικού κωδικού, που χρησιμοποιείται μετά τον κανονικό κωδικό πρόσβασης. Αυτός ο μοναδικός κωδικός στέλνεται συχνά στο κινητό τηλέφωνο του χρήστη μέσω SMS. Ο φορέας της SIM swapping επίθεσης, όμως, έχει πρόσβαση στα μηνύματα. Έτσι, χρησιμοποιώντας στοιχεία σύνδεσης που μπορεί να έχει ήδη κλέψει με άλλες μεθόδους (π.χ. phishing), μπορεί να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων και να αποκτήσει πρόσβαση στο email, σε τραπεζικούς λογαριασμούς και στα social media.
Ποια είναι τα σημάδια μιας SIM swapping απάτης;
Εάν παρατηρήσετε οποιοδήποτε από τα παρακάτω προειδοποιητικά σημάδια, επικοινωνήστε αμέσως με τον πάροχο κινητής τηλεφωνίας σας, καθώς μπορεί να έχετε δεχτεί επίθεση.
- Δεν έχετε πρόσβαση στο online account του τηλεφώνου σας.
- Δεν μπορείτε να λάβετε κλήσεις ή μηνύματα.
- Λαμβάνετε ειδοποιήσεις τηλεφωνικής υπηρεσίας για ενέργειες που δεν έχετε κάνει.
Δείτε επίσης: Ποια είναι τα καλύτερα antivirus λογισμικά για το 2022;
Πώς να προστατευτείτε από μια SIM swapping επίθεση και από τις επιπτώσεις της;
Μια επιτυχημένη SIM swapping επίθεση μπορεί προκαλέσει μεγάλο πρόβλημα στο θύμα. Επομένως, είναι σημαντικό να λαμβάνετε μέτρα για να μην πέσετε θύμα μιας τέτοιας επίθεσης.
Ακολουθούν μερικά βήματα που μπορείτε να ακολουθήσετε για να παραμείνετε ασφαλείς.
1. Προστατέψτε το τηλέφωνο και τη SIM σας
Τα περισσότερα τηλέφωνα διαθέτουν ορισμένες μεθόδους προστασίας, όπως PIN, κωδικούς πρόσβασης, μοτίβα, σάρωση δακτυλικών αποτυπωμάτων και αναγνώριση προσώπου. Τα δύο τελευταία είναι αρκετά συνηθισμένα στις πιο καινούριες συσκευές και μπορούν να προσθέσουν ένα πρόσθετο επίπεδο ασφάλειας. Αν έχετε αυτές τις δυνατότητες, καλό είναι να τις αξιοποιείτε γιατί αυτές οι μέθοδοι απαιτούν τη φυσική παρουσία του ατόμου για την απόκτηση πρόσβασης στη συσκευή.
Επίσης, εκτός από το τηλέφωνό σας, θα πρέπει να προστατεύσετε τη φυσική κάρτα SIM. Μπορείτε να την προστατεύσετε με ένα αριθμητικό PIN που πρέπει να εισάγετε κάθε φορά που κάνετε επανεκκίνηση της συσκευής σας. Η συσκευή Android ή το iPhone επιτρέπουν να δημιουργήσετε ένα PIN στις Ρυθμίσεις. Απλώς βεβαιωθείτε ότι δεν χρησιμοποιείτε τα γενέθλιά σας ή κάποιον άλλο αριθμό που θα μπορούσε να φανταστεί εύκολα ένας κακόβουλος χρήστης.
2. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και ερωτήσεις ασφαλείας
Εάν εξακολουθείτε να χρησιμοποιείτε τα γενέθλιά σας ή το όνομά σας ως κωδικό πρόσβασης σε λογαριασμούς, ήρθε η ώρα να σταματήσετε. Πρέπει να βρείτε έναν ισχυρό κωδικό πρόσβασης που είναι σχεδόν αδύνατο να μαντέψει κανείς. Ιδανικά, θα πρέπει να είναι ένας κωδικός με τουλάχιστον 12 χαρακτήρες, που περιλαμβάνει έναν συνδυασμό κεφαλαίων και μικρών γραμμάτων, αριθμών και συμβόλων.
Είναι επίσης σημαντικό να χρησιμοποιείτε διαφορετικούς κωδικούς πρόσβασης για διαφορετικούς λογαριασμούς, έτσι ώστε αν παραβιαστεί ένας λογαριασμός να μην κινδυνεύουν και οι υπόλοιποι. Αν δεν τα πηγαίνετε καλά με τους πολλούς κωδικούς μπορείτε να αξιοποιήσετε έναν password manager για την εύκολη αποθήκευση και διαχείρισή τους. Τέλος, εκτός από την ενίσχυση των κωδικών πρόσβασής σας, θα πρέπει να επιλέξετε και κάποιες ερωτήσεις ασφαλείας ως μέθοδο επαλήθευσης της ταυτότητάς σας. Σκοπός είναι να μην μπορεί να μαντέψει κάποιος τις απαντήσεις, ακόμα και οι πιο κοντινοί σας άνθρωποι.
3. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς σας
Το 2FA είναι ένας άλλος τρόπος για να προσθέσετε γρήγορα ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς σας. Μπορείτε να το κάνετε πιο ασφαλές εξαλείφοντας τον κίνδυνο που σχετίζεται με τους ελέγχους ταυτότητας που βασίζονται σε SMS. Χρησιμοποιήστε εφαρμογές 2FA όπως το Google Authenticator ή το Authy όποτε είναι δυνατόν.
4. Ενεργοποιήστε τον βιομετρικό έλεγχο ταυτότητας στη συσκευή σας
Οι κωδικοί πρόσβασης, τα PIN και τα 2FA είναι πολύ αποτελεσματικά. Ωστόσο, το Face ID και το Touch ID προσφέρουν ακόμα μεγαλύτερη προστασία και αυτό επειδή απαιτούν τη φυσική σας παρουσία. Όποτε είναι δυνατόν, χρησιμοποιήστε εφαρμογές και υπηρεσίες για κινητά που υποστηρίζουν βιομετρικό έλεγχο. Με αυτόν τον τρόπο, ακόμα κι αν οι κλέφτες πάρουν στα χέρια τους τον αριθμό τηλεφώνου σας, δεν θα μπορούν να παρακάμψουν τον βιομετρικό έλεγχο.
5. Μην δημοσιεύετε πολλές προσωπικές πληροφορίες στα social media και γενικά στο διαδίκτυο
Οι απατεώνες εκμεταλλεύονται τα social media σας για να αποσπάσουν πληροφορίες, όπως ονόματα, ημερομηνίες γέννησης και άλλα δεδομένα που θα μπορούσαν να είναι χρήσιμα για την απόκτηση πρόσβασης σε λογαριασμούς και την εξαπάτηση των εταιρειών κινητής τηλεφωνίας. Αποφύγετε λοιπόν να δημοσιεύσετε το πλήρες όνομά σας, τη διεύθυνση, τον αριθμό τηλεφώνου και την ημερομηνία γέννησής σας σε δημόσιες πλατφόρμες.
Επίσης, μην μοιράζεστε υπερβολικές λεπτομέρειες για τη ζωή σας, όπως το όνομα του κατοικίδιου ζώου σας, την τοποθεσία του καλύτερου φίλου σας, το αγαπημένο σας φαγητό κ.λπ., στα μέσα κοινωνικής δικτύωσης. Μπορεί να έχετε συμπεριλάβει ορισμένες από αυτές τις πληροφορίες σε κάποιες από τις ερωτήσεις ασφαλείας στο διαδίκτυο για να επαληθεύσετε την ταυτότητά σας.
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
6. Να είστε προσεκτικοί με μηνύματα, email και κλήσεις που λαμβάνετε
Το phishing είναι μια τεχνική που χρησιμοποιείται από εγκληματίες εδώ και πολλά χρόνια. Σχεδόν από τότε που υπάρχει και το διαδίκτυο.
Οι φορείς μιας SIM swapping επίθεσης μπορούν να αξιοποιήσουν phishing μηνύματα και emails για να κλέψουν credentials και άλλα δεδομένα χρήστη που σε συνδυασμό με τον αριθμό τηλεφώνου δίνουν πρόσβαση σε λογαριασμούς. Στις περισσότερες περιπτώσεις, οι εγκληματίες του κυβερνοχώρου προσπαθούν να μιμηθούν αξιόπιστα ιδρύματα, όπως τράπεζες, κυβερνητικές υπηρεσίες και γραφεία υγείας, υποθέτοντας ότι δεν θα διστάσετε να απαντήσετε στις ερωτήσεις τους επειδή εμπιστεύεστε αυτούς τους οργανισμούς.
Ωστόσο, πρέπει να έχετε πάντα στο νου σας ότι η τράπεζά σας, η κυβέρνηση ή οποιοδήποτε αξιόπιστος οργανισμός δεν θα ζητήσει ποτέ τα προσωπικά σας στοιχεία στο διαδίκτυο. Εάν λαμβάνετε τέτοιες κλήσεις ή μηνύματα, αγνοήστε τα και διαγράψτε τα.
Τι γίνεται με τους ανθρώπους που έχουν πέσει θύμα μια SIM swapping επίθεσης;
- Πρέπει να επικοινωνήστε αμέσως με την εταιρεία κινητής τηλεφωνίας και να πάρετε πίσω τον έλεγχο του αριθμού τηλεφώνου σας. Όταν γίνει αυτό, θα πρέπει να αλλάξετε τους κωδικούς πρόσβασης του λογαριασμού σας.
- Πρέπει να ελέγξετε την πιστωτική σας κάρτα και τους τραπεζικούς σας λογαριασμούς, για να δείτε αν έχουν γίνει χρεώσεις ή αλλαγές. Εάν εντοπίσετε κάτι περίεργο, επικοινωνήστε αμέσως με την τράπεζά σας.
Οι SIM swapping επιθέσεις, όπως και οποιαδήποτε άλλη επίθεση που στοχεύει στην απόκτηση πρόσβασης σε λογαριασμούς και σε προσωπικά και οικονομικά δεδομένα, μπορούν να είναι καταστροφικές για τα θύματα.
Γι’ αυτό το λόγο, όλοι οι χρήστες πρέπει να είναι πολύ προσεκτικοί και να ακολουθούν τις παραπάνω πρακτικές για να παραμείνουν ασφαλείς.