Пред две недели полицијата во Онтарио, Канада уапси тинејџер осомничен дека ја извршил најголемата кражба направена од страна на само една индивидуа со помош на т.н. “SIM swap” (мак. замена на SIM) напад, преку кој успеал да стигне до над 36 милиони US долари, откако во февруари британските власти објавија дека уапсиле 10 члена група која преку SIM swap напади украла стотици милиони US долари. Ваквите новости, само ја популаризираа темата и љубопитноста околу SIM swap напади, и на добрата, но се чини многу повеќе на лошата страна…
На канадскиот тинејџер SIM swap нападот му помогнал да ја прескокне двојната авторизација (2FA) со која бил заштитен дигиталниот новчаник на жртвата, американец кој имал богато крипто портфолио. По добивање пристап до кодот за двојна авторизација кој жртвата го добивал преку SMS, тинејџерот ги префрлил парите на своја сметка и исчезнал со 36 милиони US долари. Полицијата започнала да го истражува случајот во март 2020 година, а за нивна среќа дел од криптовалутите, крадецот ги потрошил да откупи на ретко корисничко име на гејминг платформа, со што истрагата се олеснило да се следат активностите поврзани со тој корисник. Ова помогнало да се идентификува и да се уапси крадецот. Полицијата успеала да заплени и 5,5 милиони долари во криптовалути.
Што е SIM swap напад и како се злоупотребува?
Во дадениот случај жртвата веројатно мислела дека има направено сè што можела за да се заштити, бидејќи имал активирано 2FA преку SMS. За жал иако не е објаснето како точно напаѓачот го извршил SIM swap нападот, веројатно се работи за стандардна пракса и примена… Овие напади почнуваат со собирање податоци за жртвата, најчесто преку социјален инженеринг, можеби преку купување податоци за жртвата од хакери или од dark web или слично. Штом дознаат доволно податоци (клучен е бројот на мобилниот телефон) измамата може да започне.
Ако во првиот дел можеби и се потребни некакви технички познавања, вториот дел на нападот е измама, и за него е потребен друг сет на вештини. Во овој дел најважно колку е вешт измамникот, и иако операторите имаат вообичаен сет на мерки кои мора да ги запазат кога префрлаат телефонски број, вештиот напаѓач може да ги убеди да ги рипнат. Дополнително, ако некој вработен е одговорен и ги следи сите правила, има доволно други салони и оператори во секторот за поддршка, па успехот на нападот најчесто е прашање на упорност и на време од страна на напаѓачот.
Напаѓачот се јавува или оди во салонот (или користи некој онлајн сервис, бот, телефонски повик) претставен како жртвата и вели дека го загубил телефонот; или го фрлил телефонот заедно со SIM картичката; всушност било која поверојатна приказна во која вработениот во мобилниот оператор ќе поверува дека пред него е сопственикот на телефонскиот број. Вработениот ќе треба за промена да побара PIN за профилот, потврда за идентитет, што во САД се последните четири бројки од бројот за социјално осигурување. Ако напаѓачот ги знае овие податоци или успеал да го убеди вработениот во компанијата дека тоа е негов телефонски број, телефонот на жртвата се исклучува и напаѓачот добива контрола врз бројот. Во овој момент жртвата може да забележи дека неговиот телефон не е поврзан на ниту една мобилна мрежа.
Штом се здобие со контрола напаѓачот најпрво ќе отстрани било каква поставена двојна авторизација. Потоа има пристап до имејл, системи за плаќање, друштвени мрежи, куп други профили врзани на телефонски број и слично. Во поново време, по растот на криптовалутите најчести жртви на овие напади се сопствениците на криптовалути.
Други популарни жртви се сопствениците на популарни канали на друштвените мрежи. Во 2019 година жртва на напад беше ко-основачот на Twitter, Џек Дорси. Тој загуби контрола врз сопствениот Twitter профил и од таму беше ретвитувана секаква содржина. Она што веројатно е најфрустрирачко е што жртвите немаат никаква контрола врз нападите. Кога ќе забележат дека се жртва на напад веќе е предоцна да преземат било какви мерки.
Регулативи кои ветуваат поголема безбедност
Федералната комисија за комуникација (FCC) на крајот на септември ги објави правилата и мерките кои треба да ги отежнат SIM swap нападите. Операторите ќе мора да имаат сигурен метод со кој ќе го потврдат идентитетот на своите корисници. Ако ова не е случај тогаш нема да смеат да го менуваат сопственикот на телефонскиот број. Една од препораките е да има предефинирани лозинки кои корисникот ќе мора да ги знае пред да го промени бројот.
Лозинките во овој случај се:
- лозинка испратена преку СМС,
- лозинка испратена преки имејл,
- лозинка добиена преку аудио повик.
Со ова ќе се отстрани опасноста од добивање на овие податоци преку социјален инженеринг, па целиот процес треба да биде (малку) побезбеден. Ако некоја верификација е неуспешна, инцидентот мора веднаш да биде пријавен кај корисникот Дополнително ниту еден телефонски да не може да се замени без 24-часовен или подолг период на чекање. Предлог мерка е и вработените кои можат да ги заменат броевите да бидат тренирани за опасностите и вообичаените практики на SIM swap нападите.
Дел од овие мерки во реалноста веќе беа овозможени, иако на некои оператори има пријави дека самиот корисник морал да инсистира да бидат испочитувани протоколите и имплементирани. Меѓутоа, и покрај реалноста во која се бара потврда за идентитет на корисникот, многу жртви на SIM swap напади не се спасени, бидејќи сепак во игра е измама и социјален инжинеринг.
Најголемиот недостаток за безбедноста на корисниците кога SIM swapping нападот е во прашање, се парите и тоа многу, многу пари. Нападите сега се прават за да се украдат криптовалути кои се чуваат во дигитални паричници. Во случајот со канадскиот тинејџер само од една жртва се украдени 36 милиони долари. Со олку многу пари за криминалците лесно е да најдат соработник кој е вработен и да го убедат вработениот во телеком провајдерот да издаде нова SIM картичка. Дури и досега напаѓачите воопшто не работеа на пронаоѓање на некакви специфични податоци за жртвите освен телефонскиот број. Наместо ова соработуваа со вработените во операторите и заедно го делеа пленот.
Како да се заштитите од SIM swap напади?
Авторизација преку апликација
Еден метод за заштита е прилично лесен, односно корисникот секогаш да користи апликација за двојна авторизација наместо авторизација преку SMS пораки, пример за таква апликација е Google Authenticator. Така пораките ќе доаѓаат на апликацијата инсталирана на телефонот, а не како SMS порака. Она што е негативна страна на овој пристап, е дека со губење пристап до телефонот при кражба или загуба, се губи и апликацијата и профилите поставени во неа – но за да се избегне овој кошмар, се што треба да направите е да имате бекап кодови.
Користење на токени
Уште подобра заштита е користење на хардверски токени кои ќе ги отклучуваат навистина важните апликации, на пример дигитални новчаници. Пример за такви токени се YubiKey, хардверски уред што користи поединечни лозинки (OTP) добиени преку криптографија како и имплементација на Universal 2nd Factor (U2F) и FIDO2 протоколи.
Сè останато ја отежнува измамата, особено кога е тешко да се заобиколи вработен во телеком подготвен за дополнителна заработка, по секоја цена.