Jesteś aktywny w mediach społecznościowych? SIM Swapping to realne zagrożenie dla twojego konta bankowego

SIM swapping, czyli przejęcie karty SIM i oszustwa z tym związane to kategoria przestępstw, o których często słyszymy, lecz zazwyczaj uważamy, że nas nie dotyczą. – To realne i zyskujące na sile zagrożenie. Każdy, kto udostępnia dane w mediach społecznościowych, może być narażony na takie ataki – przestrzegają eksperci
ds. cyberbezpieczeństwa ESET.

SIM swapping – jakie mogą być skutki?

Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych czy firmową stroną internetową – to tylko niektóre potencjalne skutki przejęcia przez hakerów karty SIM. Do przeprowadzenia takiej operacji przestępcy potrzebują naprawdę niewiele. Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w Internecie i mediach społecznościowych. Eksperci ds. cyberbezpieczeństwa przestrzegają przed rosnącą liczbą tego typu ataków.

Przejęcie karty SIM – często z nieświadomą pomocą właściciela.

W przeprowadzonym przez przedstawicieli ESET w Wielkiej Brytanii eksperymencie występująca w roli „przestępcy” osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM „ofiary”. W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM.
Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN „ofiary” eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić
na podstawie postów z mediów społecznościowych.

Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest
on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców.
Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami, a z drugiej nieostrożne dzielenie
się prywatnością w mediach społecznościowych to główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych
–mówi Kamil Sadkowski, starszy analityk zagrożeń ESET.

Po pozytywnej weryfikacji przeprowadzający test specjalista ESET podał szczegółowy – oczywiście zmyślony – opis w jaki sposób telefon został skradziony oraz informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał stosownej zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie „ofiara” zauważyłaby tylko, że zanikł sygnał sieciowy i żadne smsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby
z Wi-Fi. W kolejnych krokach, korzystając m.in. z uwierzytelniania dwuetapowego opartego na wiadomościach SMS, „przestępca” mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.

SIM swapping – jak się bronić?

Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM.

  • Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych
    lub członków rodziny.
  • Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.
  • Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Warto również zwracać uwagę, aby nie być zbyt otwartym w mediach społecznościowych. Biorąc na cel nową ofiarę, cyberprzestępcy dokładnie przeglądają wszelkie informacje dostępne o niej w świecie wirtualnym. Dlatego dobrym nawykiem jest ograniczanie zasięgu postów, które publikujemy, szczególnie tych zawierających wrażliwe
czy osobiste informacje.

Zastosowanie powyższych wskazówek wzmocni naszą ochronę przed nieuprawnionym dostępem do naszych danych. Miejmy świadomość, że przy pomocy zgromadzonych danych przestępcy mogą zablokować dostęp do kont pełnoprawnym użytkownikom, a odzyskanie kontroli nad usługami może okazać się niezwykle trudne. Konsekwencje mogą być szczególnie dotkliwe w przypadku konta bankowego, poczty e-mail czy profili w mediach społecznościowych – podsumowuje Kamil Sadkowski.