Kaip apsaugoti SIM kortelę nuo SIM swap atakų

Kas iš tikrųjų vyksta per SIM swap ataką

Įsivaizduok tokią situaciją: rytas, kava dar neišgerta, o telefone – jokio ryšio. Ne tik interneto, bet ir paprasčiausio skambučio. Bandai perkrauti telefoną, keiti režimus, bet nieko. Tuo metu kažkas kitas jau skambina tavo banku, gauna SMS patvirtinimo kodus ir tuština tavo sąskaitą. Tai ir yra SIM swap ataka – viena iš labiausiai neįvertintų, bet itin pavojingų sukčiavimo formų.

SIM swap (arba SIM hijacking) – tai procesas, kai užpuolikas įtikina tavo mobiliojo ryšio operatorių perkelti tavo telefono numerį į naują SIM kortelę, kurią jis kontroliuoja. Techniškai tai nėra koks nors sudėtingas įsilaužimas į sistemas – dažniausiai tai yra socialinė inžinerija gryniausiu pavidalu. Sukčius tiesiog paskambina operatoriui, apsimeta tavimi, pateikia keletą asmeninių duomenų (kuriuos lengvai galima rasti socialiniuose tinkluose arba nupirkti iš duomenų nutekėjimų) ir paprašo „pakeisti SIM kortelę, nes senoji sugedo”.

Operatoriaus darbuotojas, tikėdamas, kad kalba su tikru klientu, atlieka pakeitimą. Nuo to momento visi skambučiai ir SMS žinutės, skirtos tau, keliauja pas užpuoliką. O kadangi dauguma bankų, el. pašto paslaugų ir kitų platformų naudoja SMS kaip dviejų faktorių autentifikaciją – sukčius gauna raktą į beveik viską.

Kodėl šita ataka tokia efektyvi ir populiari

SIM swap atakos populiarumas kyla iš kelių paprastų, bet labai svarbių priežasčių. Pirma – žmonės per daug pasitiki SMS žinutėmis kaip saugumo priemone. Antra – operatorių klientų aptarnavimo darbuotojai yra mokomi padėti klientams, o ne įtarinėti juos. Trečia – asmeninių duomenų nutekėjimai yra tokie dažni, kad sukčiams lengva surinkti pakankamai informacijos, kad įtikinamai apsimestų kitu žmogumi.

Pagalvok, kiek informacijos apie save paskelbei internete. Gimimo data – galbūt Facebook profilyje. Telefono numeris – gal LinkedIn. Adresas – gal kur nors registruodamasis į paslaugą. Mama mergautinė pavardė – klasikinis saugumo klausimas, kurį atsakyti gali padėti net trumpa socialinių tinklų analizė. Visa tai kartu sudaro pakankamai duomenų, kad sukčius galėtų įtikinamai kalbėtis su operatoriaus darbuotoju.

Ir dar vienas dalykas – šios atakos dažnai yra tikslinės. Tai nėra masinis šlamštas, kurį galima filtruoti. Sukčius pasirenka konkretų žmogų, ištiria jį, o tada veikia. Taikiniai dažnai yra žmonės, kurie viešai kalba apie kriptovaliutas, verslininkai, žinomi asmenys arba tiesiog tie, kurie netyčia atskleidė per daug informacijos internete.

Kaip atpažinti, kad tapai auka

Ankstyvas atpažinimas gali reikšti skirtumą tarp nedidelių nepatogumų ir visiško finansinio žlugimo. Štai pagrindiniai ženklai, į kuriuos reikia atkreipti dėmesį:

Telefono ryšys dingsta be jokios aiškios priežasties. Jei staiga nebegali skambinti, gauti SMS ar naudotis mobiliaisiais duomenimis, o tinklo juosta rodo „Nėra paslaugos” arba „SOS” – tai rimtas signalas. Žinoma, kartais tinklas tiesiog sutrinka, bet jei tai vyksta kartu su kitais požymiais, reikia reaguoti greitai.

Gauni pranešimus apie veiklą, kurios neinicijavai. El. laiškai apie slaptažodžių keitimą, prisijungimus iš nežinomų įrenginių ar sąskaitų pakeitimus – visa tai rodo, kad kažkas jau naudoja tavo numerį.

Operatorius siunčia patvirtinimo žinutę apie SIM pakeitimą. Kai kurie operatoriai siunčia tokius pranešimus el. paštu. Jei gauni tokį, o pats nieko neprašei – veik nedelsiant.

Jei įtari, kad tapai auka, pirmiausia paskambink savo operatoriui iš kito telefono arba nuvyk į parduotuvę fiziškai. Paprašyk sustabdyti numerį ir išsiaiškinti, kas įvyko. Lygiagrečiai – keisk slaptažodžius prie visų svarbių paskyrų, ypač el. pašto ir bankų, naudodamas kitą įrenginį.

Apsauga operatoriaus lygmeniu – pirmas ir svarbiausias žingsnis

Geriausia gynyba prasideda ten, kur prasideda ataka – prie operatoriaus. Dauguma žmonių nežino, kad galima papildomai apsaugoti savo numerį operatoriaus sistemoje, ir šios galimybės labai skiriasi priklausomai nuo šalies ir tiekėjo.

Nustatyk PIN kodą arba slaptažodį SIM pakeitimams. Daugelis operatorių leidžia nustatyti papildomą PIN kodą, kurio reikia norint atlikti bet kokius pakeitimus su tavo numeriu. Tai reiškia, kad net jei sukčius žino visus tavo asmeninius duomenis, be šio PIN kodo jis nieko negalės padaryti. Skambink savo operatoriui ir klausk, ar tokia galimybė yra – dažniausiai ji vadinama „port freeze”, „SIM lock” arba tiesiog papildomu saugumo PIN kodu.

Aktyvuok pranešimus apie SIM pakeitimus. Paprašyk operatoriaus, kad bet koks SIM pakeitimas būtų patvirtintas el. paštu arba kitu kanalu. Taip turėsi bent trumpą laiko tarpą reaguoti.

Apribok galimybę keisti SIM nuotoliniu būdu. Kai kurie operatoriai leidžia nustatyti, kad SIM pakeitimai galimi tik fiziškai atvykus į parduotuvę su asmens dokumentu. Tai žymiai apsunkina sukčiaus darbą.

Lietuvoje veikiantys operatoriai – Tele2, Bite, Telia – turi skirtingas galimybes šioje srityje. Verta paskambinti klientų aptarnavimui ir tiesiogiai paklausti: „Ką galiu padaryti, kad apsaugočiau savo numerį nuo neteisėto SIM pakeitimo?” Jei darbuotojas nesupranta klausimo – prašyk perduoti specialistui arba eik į parduotuvę.

Dviejų faktorių autentifikacija – bet ne SMS

Čia daugeliui žmonių sunku priimti tiesą: SMS žinutės yra viena silpniausių dviejų faktorių autentifikacijos formų. Tai geriau nei nieko, bet SIM swap ataka jas paverčia bevertėmis. Todėl reikia pereiti prie stipresnių alternatyvų.

Autentifikacijos programėlės – tai geriausias kompromisas tarp saugumo ir patogumo. Google Authenticator, Authy, Microsoft Authenticator ar open-source alternatyva Aegis generuoja laikinius kodus tiesiai tavo telefone, be jokio ryšio su operatoriumi. Net jei sukčius perima tavo numerį, jis negaus šių kodų. Svarbu: Authy leidžia sinchronizuoti kodus tarp įrenginių, kas patogu, bet šiek tiek mažiau saugu. Aegis ar Google Authenticator veikia tik vietiškai – tai saugiau, bet reikia pasirūpinti atsarginėmis kopijomis.

Fiziniai saugumo raktai (hardware security keys) – tai aukso standartas. YubiKey ar Google Titan Key yra fiziniai USB/NFC įrenginiai, kuriuos reikia turėti rankose norint prisijungti. Jų neįmanoma perimti nuotoliniu būdu. Jei rimtai žiūri į saugumą – ypač jei turi kriptovaliutų, verslą ar jautrią informaciją – investicija į tokį raktą (apie 50-100 eurų) yra viena geriausių, ką gali padaryti.

Paskyros, kurias reikia apsaugoti pirmiausia:

  • El. paštas – tai raktas į viską kita, nes per jį atstatomi slaptažodžiai
  • Bankininkystės programėlės ir internetinė bankininkystė
  • Kriptovaliutų biržos ir piniginės
  • Apple ID / Google paskyra – nes per jas galima pasiekti daug kitų paslaugų
  • Socialiniai tinklai, ypač jei juos naudoji prisijungimui prie kitų svetainių

Skaitmeninis higiena – kaip nesudaryti sąlygų atakai

Techninės priemonės yra svarbios, bet lygiai taip pat svarbu sumažinti informacijos, kurią sukčius gali surinkti apie tave, kiekį. Socialinė inžinerija veikia tik tada, kai yra su kuo dirbti.

Peržiūrėk, ką skelbi viešai socialiniuose tinkluose. Gimimo data, miestas, darbovietė, šeimos narių vardai – visa tai gali būti naudojama atsakant į saugumo klausimus arba įtikinamai apsimetant tavimi. Tai nereiškia, kad reikia ištrinti visus profilius, bet verta pagalvoti, ar tikrai reikia, kad visa tai būtų vieša.

Naudok unikalius el. pašto adresus svarboms paslaugoms. Jei tavo pagrindinis el. paštas nuteka duomenų pažeidimo metu, sukčiai žino, kur ieškoti. Turėti atskirą el. pašto adresą finansinėms paslaugoms – protinga idėja. SimpleLogin ar AnonAddy leidžia kurti el. pašto alias’us, kurie nukreipia į pagrindinę dėžutę.

Patikrink, ar tavo duomenys jau nutekėjo. Svetainė haveibeenpwned.com leidžia patikrinti, ar tavo el. paštas ar telefono numeris buvo rasti duomenų nutekėjimuose. Jei taip – keisk slaptažodžius ir būk ypač budrūs.

Saugumo klausimai – tavo priešas. Jei paslauga reikalauja nustatyti saugumo klausimus, niekada neatsakyk teisingai. Vietoj to naudok atsitiktines frazes ir saugok jas slaptažodžių tvarkyklėje. „Mama mergautinė pavardė” – gali būti „Žaliaspalvis dramblys”. Niekas neatspės.

Slaptažodžių tvarkyklė yra būtinybė, ne prabanga. Bitwarden (nemokamas, open-source), 1Password ar Dashlane leidžia turėti unikalius, sudėtingus slaptažodžius kiekvienai paslaugai. Jei viena paskyra nuteka – kitos lieka saugios.

Ką daryti, jei ataka jau įvyko

Greitis čia yra viskas. Kiekviena minutė, kurią sukčius turi prieigą prie tavo numerio, yra potencialiai prarasti pinigai ar duomenys.

Pirmas žingsnis – susisiek su operatoriumi. Paskambink iš kito telefono arba nuvyk fiziškai. Paaiškink situaciją ir paprašyk nedelsiant sustabdyti numerį ir atšaukti SIM pakeitimą. Paprašyk, kad ateityje bet kokie pakeitimai galimi tik fiziškai atvykus su dokumentais.

Antras žingsnis – apsaugok finansines paskyras. Paskambink į banką ir informuok apie situaciją. Paprašyk sustabdyti visas operacijas arba bent jau tas, kurioms reikia SMS patvirtinimo. Jei pastebėjai neteisėtas operacijas – jas reikia ginčyti kuo greičiau.

Trečias žingsnis – keisk slaptažodžius ir autentifikacijos metodus. Pradėk nuo el. pašto, tada bankų, tada visko kito. Jei įmanoma – perjunk nuo SMS autentifikacijos prie programėlės ar fizinio rakto.

Ketvirtas žingsnis – pranešk policijai. SIM swap yra nusikaltimas. Pateik pareiškimą – tai gali padėti ne tik tavo atveju, bet ir padėti tyrimams prieš sukčius, kurie dažnai veikia seriškai.

Penktas žingsnis – patikrink kredito istoriją. Kartais sukčiai ne tik tuština sąskaitas, bet ir ima paskolas tavo vardu. Lietuvoje galima patikrinti kredito istoriją per Creditinfo ar Scorify.

Kai paranoja tampa sveiku protu – kaip gyventi saugiai

Saugumas nėra vienkartinis projektas. Tai įprotis, kuris formuojamas palaipsniui ir tampa natūralia kasdienybės dalimi – kaip užrakinti duris išeinant iš namų.

Realiai žiūrint, absoliutaus saugumo nėra ir niekada nebus. Bet galima žymiai padidinti kainą, kurią sukčius turės sumokėti norėdamas tave atakuoti. Jei tavo numeris apsaugotas PIN kodu pas operatorių, svarbios paskyros naudoja autentifikacijos programėlę, slaptažodžiai yra unikalūs ir sudėtingi, o viešai skelbi minimaliai asmeninės informacijos – tikimybė tapti SIM swap atakos auka krenta dramatiškai.

Pradėk nuo paprasčiausių dalykų šiandien: paskambink operatoriui ir paklausyk apie papildomą SIM apsaugą. Įdiek Bitwarden ir pradėk naudoti unikalius slaptažodžius. Perjunk bent el. paštą ir banką nuo SMS autentifikacijos prie Google Authenticator ar panašios programėlės. Tai užtruks gal valandą, bet gali išgelbėti daug daugiau.

Technologijos tobulėja, sukčiai taip pat tobulėja. Bet žmogus, kuris supranta, kaip veikia atakos, ir imasi konkrečių veiksmų, visada bus žingsniu priekyje. SIM swap ataka nėra neišvengiama – tai yra problema, kurią galima išspręsti, jei žinai, ką daryti. O dabar žinai.

Daugiau

PM2.5 matavimas namuose: oro kokybės jutikliai