В этой статье мы собираемся раскрыть одно из самых ужасных случаев мошенничества с SIM-картами: замена SIM-карты. Если ваш мобильный телефон больше не защищен, бойтесь: используется новый телефонный обман, известный как «подмена SIM-карты», чтобы кибер-злоумышленник дублировал наш номер телефона и использовал эту систему, чтобы узурпировать нашу личность, аутентифицировать себя в нашем банке и ограбить нас. все деньги.
Генеральный директор Twitter стал жертвой мошенничества с SIM-картами
Уже есть жертвы мошенничества, которое использовалось для других целей: у Джека Дорси, соучредителя Twitter, была украдена его служебная учетная запись с помощью той же системы, что еще раз подчеркивает слабость таких механизмов, как SMS-сообщения для двоих. системы пошаговой аутентификации. Первоначально они были хорошим вариантом, но, как мы уже говорили ранее, гораздо более целесообразно использовать независимые приложения аутентификации, а не SMS, которые становятся все более уязвимыми в этой области.
Что НЕ следует делать, чтобы предотвратить замену SIM-карты?
Здесь есть две очевидные проблемы: во-первых, заказ дубликата SIM-карты относительно прост. Во-вторых, использование SMS в качестве системы для предложения двухэтапной или двухфакторной аутентификации (2FA) уже давно уязвимо для различных атак, и это только последняя – но, вероятно, самая тревожная – из всех. .
Этот техника позволяет обойти меры безопасности, которые превращают мобильный телефон в инструмент для проверки нашей личности, что, как мы видели, опасно в экономической сфере, а также во многих других сценариях.
Мы временно отключаем возможность твитов с помощью SMS или текстовых сообщений, чтобы защитить учетные записи людей.
– Поддержка Twitter (@TwitterSupport) 4 сентября 2019 г.,
Это было продемонстрировано в наши дни, когда соучредитель и генеральный директор Twitter Джек Дорси подвергся аналогичной атаке, в результате которой в его учетной записи Twitter (@jack) внезапно появились оскорбительные и расистские сообщения, которые позже были удалены.
Замена SIM-карты может привести к краже личных данных
Проблема возникла из-за кражи личных данных, в результате которой телефонный оператор в США (не уточняется, какой именно) позволил злоумышленнику получить копию SIM-карты Дорси, что, в свою очередь, позволило злоумышленнику использовать функцию публикации в Twitter через SMS-сообщения было одной из оригинальных особенностей сервиса.
Оскорбительные сообщения вызвали немедленную реакцию со стороны Дорси, который объявил, что Twitter отключает доставку сообщений на платформу через SMS.
Защитите себя от замены SIM-карты: как предотвратить замену SIM-карты?
Проблема этой кибератаки заключается в том, что у нее есть два широко разделенных лица, у каждого из которых есть собственное взаимозависимое решение: если оба не будут решены, проблема будет продолжаться.
Во-первых, это те, кто обрабатывает эту информацию, операторы, которые должны быть более требовательными, когда речь идет о предоставлении дубликатов SIM-карты. Проверки личности здесь должны быть комплексными, чтобы избежать проблем, возникающих в этих случаях.
Банки, финансовые учреждения и любые другие платформы, которые до сих пор используют SMS в качестве двухэтапной системы аутентификации, также имеют отложенные обязанности. Это популярный и удобный метод, но, как мы видели, он долгое время очень уязвим, как указал эксперт по безопасности Брюс Шнайер. Именно по этой причине все эти компании должны избавиться от SMS из своих систем аутентификации в два этапа и использовать другие альтернативы.
Используйте 2FA / U2F против атаки подкачки SIM-карты
Среди наиболее рекомендуемых прямо сейчас – приложения аутентификации, которые заменяют SMS и могут быть установлены на наши мобильные телефоны. Microsoft Authenticator, Google Authenticator или Authy являются одними из самых известных, и если мы можем их использовать – платформа, с которой мы работаем, должна поддерживать эту опцию – они намного безопаснее, чем аутентификация через SMS.
Еще более интересными являются ключи U2F (универсальные ключи 2-го фактора), открытый стандарт аутентификации, который использует физические ключи и имеет стандарт FIDO2 в качестве последней реализации. Такие производители, как Yubico, хорошо известны своими решениями, но даже Google недавно захотел войти в этот сегмент со своими ключами безопасности Titan, хотя недавно он объявил, что телефон Android также может стать ключом безопасности.