Как работают атаки подкачки SIM? Почему так легко перенести номер телефона?

Как работают атаки подкачки SIM? Почему так легко перенести номер телефона?

Вы все сделали правильно. У ваших аккаунтов были надежные пароли, вы никогда не нажимали на случайные ссылки, и у вас была настроена двухфакторная аутентификация. Но однажды утром вы все равно проснулись и обнаружили, что не можете войти в электронную почту, а ваш банковский счет пуст.
Такое случалось с людьми, которые становились жертвами смены SIM-карты (или взлома SIM-карты). Преступники используют этот метод, чтобы завладеть чьим-то номером телефона, передав его на свою собственную SIM-карту.

Как работают атаки подкачки SIM?

К сожалению, эту атаку, которая обходится ее жертвам в десятки тысяч, осуществить относительно легко. Атакующий звонит оператору мобильной связи и просит его перенести вашу SIM-карту на устройство, которое он контролирует. Затем он использует ваш номер телефона для сброса пароля электронной почты. Злоумышленник получает проверочный код 2FA и доступ ко всем учетным записям, связанным с основной почтой.

Как работают атаки подкачки SIM?
Схема атаки симкарты

Почему так легко перенести номер телефона?

Потому что у мобильных провайдеров нет серьезных мер безопасности и поэтому очень часто происходит утечка данных, которые содержат много ценного, например, финансовые операции (оплата). Этой информации достаточно для осуществления подкачки SIM. Здесь есть все: номер телефона, имя владельца, его адрес и даже кодовые слова.

Эта атака не является новой или особенно сложной, но провайдеры мобильной связи ничего не делают, чтобы ее остановить. Защита своих аккаунтов зависит только от самих пользователей.

Как защитить себя от атаки подкачки SIM-карт?

Существуют некоторые способы, которые можно применить для защиты как SIM-карты, так и онлайн-аккаунтов:

  • Обратитесь к своему мобильному оператору за дополнительными мерами безопасности.
  • Рассмотрите возможность отключения конфиденциальных учетных записей от номера телефона.
  • Сократите количество аккаунтов, к которым подключена ваша электронная почта, и удалите те, которые вы больше не используете.
  • Никогда не подписывайтесь на услуги.
  • Выберите сложный и уникальный пароль для каждого сайта, приложения или сервиса. И никогда не сохраняйте их в браузере – используйте менеджер паролей.
  • Используйте двухфакторную аутентификацию там, где это возможно.
  • Не храните конфиденциальную информацию на виртуальном диске.
  • Минимизируете свой цифровой след. Не используйте геотеги, не раскрывайте свою личную информацию в интернете, не пользуйтесь общедоступным Wi-Fi, но всегда включайте VPN при просмотре веб-страниц.
Исхаков Максим

Руководитель информационного портала "Безопасник". Директор компании по продаже и установке систем безопасности.

Оцените автора
Портал о системах видеонаблюдения и безопасности
Добавить комментарий