Kradzież kart SIM: hakerzy omijają
uwierzytelnienia wieloskładnikowe

Ostatni rok przyniósł wzrost przestępstw związanych z kradzieżą kart SIM. Ulubionym celem cyberprzestępców stali się właściciele kryptowalut.

Według danych FBI w 2021 roku wpłynęło 1600 skarg dotyczących zmian kart SIM. Szacunkowe straty będące skutkiem tego procederu wynoszą 66 milionów dolarów. W latach 2018-2020 FBI otrzymało 320 skarg, a straty sięgnęły 12 milionów dolarów. Ten gwałtowny skok jest spowodowany tym, że cyberprzestępcy znaleźli sposób na obejście wieloskładnikowego uwierzytelniania, które opiera się na przesyłaniu wiadomości tekstowych lub kodu na telefon klienta w celu potwierdzenie jago tożsamości. Oszuści najczęściej biorą na cel właścicieli portfeli kryptowalut oraz użytkowników mediów społecznościowych z dużą liczbą obserwujących. Cyberprzestępcy stosują różne taktyki, aby nakłonić operatorów komórkowych do przeniesienia karty SIM na nowy telefon. Po wymianie karty SIM połączenia i SMS-y trafiają na urządzenie przestępcy, co pozwala im zresetować hasła i odpowiedzieć na weryfikację logowania.

  • Napastnicy zawsze poruszają się szybciej. Mogą wejść i wyjść, zanim ofiara, zorientuje się, że coś się dzieje. Złodzieje po przejęciu karty SIM potrafią opróżnić konto z kryptowalutami w 90 sekund – mówi Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Telekomy stosują różne taktyki, aby powstrzymać oszustwa związane z zamianą karty SIM. Niektóre z praktyk obejmują konfigurowanie trudnych do odgadnięcia kodów PIN i dokładanie dodatkowych zabezpieczeń, takich jak zatwierdzenie wiadomości ustne lub e-mail, a także uwierzytelnianie tekstowe przed przeniesieniem numeru komórkowego na nowy telefon.

Zdaniem Erica Cole’a, założyciela i dyrektora generalnego Secure Anchor Consulting wzrost liczby zgłoszonych przestępstw jest częściowo związany z boomem kryptowalutowym w 2021 roku.

  • Widziałem od 15 do 20 milionów dolarów skradzionych w ramach jednej zamiany karty SIM, ponieważ jedynym źródłem ochrony było uwierzytelnianie wieloskładnikowe. Miało miejsce co najmniej 30 takich przestępstwach, w ciągu ostatnich sześciu miesięcy. Ofiary straciły łącznie około 320 milionów dolarów z kont kryptograficznych, a jedna z nich pożegnała się z 43 milionami dolarów – przyznaje Eric Colę na łamach dziennika The Wall Street Journal.

Specjaliści ds. cyberbezpieczeństwa zalecają podjęcie kroków, które niezależnie od działań operatorów telekomunikacyjnych, pozwolą zabezpieczyć się przed utratą karty SIM.

– Nie należy chwalić się posiadaniem aktywów finansowych, w tym kryptowalut w serwisach społecznościowych i forach internetowych. Trzeba też unikać umieszczania danych osobowych w Internecie, takich jak numery telefonów komórkowych, adresy lub inne informacje umożliwiające identyfikację. Warto też używać silnych metod uwierzytelniania wieloskładnikowego, takich jak biometria, fizyczne tokeny bezpieczeństwa lub samodzielne aplikacje uwierzytelniające – podsumowuje Mariusz Politowicz.