A T-Mobilenál annyi SIM-kártyás csalás történt, hogy az elemzők inkább felhagytak a számolással
Egy szempontból ugyan előnyös, hogy internetes regisztrációkkor csupán telefonszámunk megadásával szinte minden internetes szolgáltatás elérhetővé válik számunkra. Egy megerősítő üzenet SMS-ben, amelyből az azonosító kódot begépeljük, és pillanatok alatt a kívánt platform felhasználójává is váltunk. Azonban ennek hátulütője, hogy aki akar, az pontosan ilyen könnyedén vissza is tud ezzel élni. Ezzel a támadók nemes egyszerűséggel férhetnek hozzá legszemélyesebb üzeneteinkhez, kezdeményezhetnek pénzutalásokat banki fiókjainkból, vagy használhatják fel személyes adatainkat további csalások elkövetéséhez.
Mit jelent a SIM-swap csalás?
A SIM swap csalásnál telefonszámunk felett a támadás elkövetői úgy veszik át az irányítást, hogy a bűnözővel még csak találkoznunk sem kell. Sőt, az eszközünk (pl.: telefonkészülékünk) eltulajdonítása sem szükséges e súlyos visszaéléshez. A csaló a korábban megszerzett személyes adatok segítségével megszemélyesíti a telefon valódi tulajdonosát (pl. meghatalmazást hamisít), majd az áldozat telefonszolgáltatójánál „új” SIM kártyát igényel valamilyen hivatkozással. Az ügyfélszolgálaton dolgozó munkatársat megkéri, hogy a telefonszámát a kiberbűnöző tulajdonában lévő másik SIM-kártyára vigye át. A csaló általában arra hivatkozik, hogy a telefonját ellopták vagy elvesztette, esetleg más méretű SIM-kártyára van szüksége készülékcsere miatt. Ezáltal az áldozat tulajdonában lévő „régi” SIM kártya inaktiválódik, a telefonszám pedig aktívvá válik az „új” SIM kártyán.
Telefonszámunk + néhány személyes adatunk = hozzáférés az életünkhöz
Ma már a telefonszámunk/e-mail címünk megadása bármilyen oldalra való regisztráláskor kötelező. A megadott címre kapunk egy megerősítő kódot/jelszót, amivel aktiválhatjuk regisztrációnkat az adott platformra, így gond nélkül léphetünk be és használhatjuk a szolgáltatást. A legfőbb probléma a SIM-swap csalásokkal, hogy miután a csalók a fent ismertetett módon hozzájutnak a SIM kártyánkhoz, ezzel értelemszerűen az összes telefonunkra érkezett jóváhagyó SMS üzenethez is hozzáférnek. Így lehetőségük nyílik például belépni banki fiókjainkba, tranzakciókat indítani onnan, és meg is erősíteni azokat a telefonszámra érkezett autentikációs (azonosító) kódokon keresztül.
Érdekesség: 2020-ban a Princetoni Egyetem kutatói “áll SIM-kártya cserét” eljátszva tesztelték az 5 legnépszerűbb amerikai telefonszolgáltatót. Az 50 megszemélyesített SIM-kártya csere akcióból (szolgáltatónként 10 próbálkozás) 39 sikeresen végződött volna. Ez csaknem 80%-os sikerességi arányt jelent.
Közel 24 millió dollárnyi kriptót loptak el SIM-swappal
2022 decemberében Nicholas Trugliát 18 hónap börtönbüntetésre ítélték, amiért néhány éve 23,8 millió dollárnyi kriptót lopott el SIM-csere útján. A lopás egyetlen áldozathoz, Michael Terpinhez kapcsolódott.
Az áldozat 2019-ben 75 millió dolláros polgári pert nyert Truglia ellen. Az eset után Terpin beperelte az AT&T-t is, amiért nem tudta megakadályozni a hackert. A bíróság azonban 2020-ban elutasította a 200 millió dolláros kártérítési igényt.
A T-Mobilenál nem győzték számolni a SIM-kártyás csalásokat
A Krebs on Security szerint a T-Mobile mobilszolgáltatónál legalább 104 alkalommal követtek el SIM-kártya cserés átveréseket 2022 folyamán. Ez a szám azonban csak nyomokban tükrözi a valóságot. Az adatok összegyűjtését 2022. december 31-én kezdték el és időben visszafelé haladtak, minden egyes alkalommal feljegyezve, amikor új hozzáférési értesítést találtak. A kutatók május közepére felhagytak a számolással, így négy és fél hónap Telegram-naplója maradt megszámolatlanul.
Mikor az ügyben felkeresték a T-Mobile munkatársait, közölték, hogy a SIM-csere az egész iparágat érintő probléma. A cég hozzátette, hogy folyamatosan küzd a jelenség ellen, többek között a SIM-csere folyamatának javításával.
„Folytatjuk a jogosulatlan hozzáférés elleni további védelmet szolgáló fejlesztéseket, beleértve a többfaktoros hitelesítési ellenőrzések javítását, a környezetek keményítését, az adatokhoz, alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférés korlátozását és még sok mást”.
A nyilatkozat megemlítette a hírszerzési műveletek beépítését is, mint amilyen a biztonsági kutatók által ebben a tanulmányban végzett művelet.
2018 januárja és 2020 decembere között az FBI-hoz 320 SIM-swap-bejelentés érkezett. Ez a szám 2021-ben 1611 esetre ugrott meg.
A témáról, és a támadás elleni leghatásosabb védekezési módszerekről az alábbi videó sok hasznos információval szolgál.