SIM swapping, znane również jako SIM jacking, to rodzaj oszustwa telekomunikacyjnego, w którym osoba o złej intencji – najczęściej cyberprzestępca – przechwytuje kontrolę nad numerem telefonu ofiary.
Atak SIM swapping jest skomplikowanym procesem, który wymaga od napastnika pewnej wiedzy i zdolności do manipulacji.
Zaczyna się od gromadzenia informacji o ofierze. Napastnik może zdobyć te informacje w różny sposób – przez techniki inżynierii społecznej, phishing, naruszenia danych, a nawet poprzez publicznie dostępne informacje w internecie.
Kiedy napastnik ma wystarczająco dużo informacji, kontaktuje się z dostawcą usług telefonii komórkowej ofiary. Podczas tej rozmowy napastnik udaje, że jest ofiarą, a jego celem jest przekonanie dostawcy usług, że utracił swoją kartę SIM, lub że została ona uszkodzona.
Napastnik prosi wtedy o aktywację nowej karty SIM z tym samym numerem telefonu. W tym celu musi przekonać dostawcę usług, że jest rzeczywiście właścicielem konta, często odpowiadając na pytania dotyczące tożsamości ofiary.
Cyberprzestępca zyskuje dostęp do karty SIM
Jeśli napastnik jest przekonujący, dostawca usług aktywuje nową kartę SIM, dając napastnikowi pełną kontrolę nad numerem telefonu ofiary. W tym momencie wszystkie wiadomości SMS i połączenia przychodzące są przekierowywane do napastnika, a nie do właściciela konta.
W praktyce napastnik może teraz uzyskać dostęp do dowolnej usługi, która wykorzystuje ten numer telefonu do autentykacji, takiej jak bankowość online, poczta elektroniczna, konta na mediach społecznościowych itd. Może to być szczególnie szkodliwe, jeśli ofiara korzysta z uwierzytelniania dwuskładnikowego przez SMS jako dodatkowej warstwy zabezpieczeń – napastnik otrzymuje kod autentykacyjny zamiast prawdziwego użytkownika.
Oszustwo to jest trudne do wykrycia, ponieważ wiele osób nie zauważa, że ich numer telefonu został przeniesiony na inną kartę SIM, dopóki nie spróbują użyć swojego telefonu. Ponadto ataki te są trudne do przeciwdziałania, ponieważ wiele firm telekomunikacyjnych nie oferuje wystarczających zabezpieczeń przeciwko takim działaniom.
Jednym ze sposobów ochrony przed tym rodzajem ataku jest korzystanie z innych metod autentykacji dwuskładnikowej, takich jak aplikacje generujące kody lub klucze sprzętowe.
SIM swapping to popularny atak
W sierpniu 2018 r. amerykański inwestor kryptowalutowy Michael Terpin został pokrzywdzony w wyniku ataku SIM swapping, w którym stracił równowartość ok. 24 mln dol. w kryptowalutach. Terpin później pozwał AT&T, operatora sieci komórkowej, na kwotę 224 mln dol. za jego rolę w ataku.
W lipcu 2020 r. konta Twittera wielu znanych osób i firm, w tym Elona Muska, Billa Gatesa, Apple i Uber, zostały zhakowane i użyte do przeprowadzenia scamu związanego z Bitcoinem. Późniejsze śledztwo wykazało, że atak został przeprowadzony za pomocą techniki SIM swapping.
Z kolei w sierpniu 2019 r. konto Jacka Dorseya, który wtedy był jeszcze szefem Twittera, zostało przejęte przez grupę hakerów znanych jako “Chuckling Squad”. Dorsey był ofiarą ataku SIM swapping, który pozwolił napastnikom na wysyłanie wiadomości z jego konta.
W tych i wielu innych przypadkach napastnicy wykorzystali technikę SIM swapping, aby ominąć zabezpieczenia i uzyskać dostęp do kont i zasobów swoich ofiar.
To podkreśla jak ważne jest, aby firmy telekomunikacyjne wprowadzały dodatkowe zabezpieczenia, by zapobiec tego rodzaju atakom, a użytkownicy byli świadomi tego zagrożenia i podjęli odpowiednie środki, aby się przed nim zabezpieczyć.
Jak sklonować numer telefonu i kartę SIM
Klonowanie karty SIM odnosi się do procesu skopiowania informacji z jednej karty SIM na inną. Jest to technicznie skomplikowane i często wymaga specjalistycznego sprzętu. Proces ten obejmuje zwykle następujące etapy:
Odczytanie informacji z oryginalnej karty SIM za pomocą czytnika kart SIM
Kopiowanie tych informacji na nową kartę SIM za pomocą odpowiedniego oprogramowania
W wielu miejscach, takich jak Stany Zjednoczone i Unia Europejska, klonowanie karty SIM bez wyraźnej zgody właściciela jest nielegalne.
Klonowanie numeru telefonu to z kolei nieco inny proces i zazwyczaj wymaga współpracy z dostawcą usług telefonii komórkowej. Numer telefonu jest przypisany do karty SIM przez dostawcę usług, więc aby “sklonować” numer telefonu, zazwyczaj musiałbyś przeprowadzić proces znany jako SIM swapping, który opisaliśmy wcześniej.
Niemniej jednak, niezależnie od lokalnych przepisów prawnych, zarówno klonowanie karty SIM, jak i numeru telefonu, są powszechnie uważane za nieetyczne i stanowią poważne naruszenie prywatności. Zawsze powinieneś szanować prywatność innych i korzystać z technologii w sposób odpowiedzialny.
Autor: Jacek Kawik, dziennikarz Vault-Tech.pl
Sprawdź też: