Coraz więcej kradzieży kart SIM. Hakerzy omijają uwierzytelnienia wieloskładnikowe

Według danych FBI, w 2021 roku wpłynęło 1600 skarg dotyczących zmian kart SIM. Szacunkowe straty będące skutkiem tego procederu wynoszą 66 mln dolarów. W latach 2018-2020 FBI otrzymało 320 skarg, a straty sięgnęły 12 mln dolarów.

Firma Bitdefender informuje, że ten gwałtowny skok jest spowodowany tym, że cyberprzestępcy znaleźli sposób na obejście wieloskładnikowego uwierzytelniania, które opiera się na przesyłaniu wiadomości tekstowych lub kodu na telefon klienta w celu potwierdzenie jago tożsamości. Oszuści najczęściej biorą na cel właścicieli portfeli kryptowalut oraz użytkowników mediów społecznościowych z dużą liczbą obserwujących. Cyberprzestępcy stosują różne taktyki, aby nakłonić operatorów komórkowych do przeniesienia karty SIM na nowy telefon. Po wymianie karty SIM połączenia i SMS-y trafiają na urządzenie przestępcy, co pozwala im zresetować hasła i odpowiedzieć na weryfikację logowania.

"Napastnicy zawsze poruszają się szybciej. Mogą wejść i wyjść zanim ofiara zorientuje się, że coś się dzieje. Złodzieje po przejęciu karty SIM potrafią opróżnić konto z kryptowalutami w 90 sekund." - stwierdził Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Hakerzy coraz częściej atakują firmową pocztę e-mail. To bardziej skuteczne i opłacalne

Telekomy stosują różne taktyki, aby powstrzymać oszustwa związane z zamianą karty SIM. Niektóre z praktyk obejmują konfigurowanie trudnych do odgadnięcia kodów PIN i dokładanie dodatkowych zabezpieczeń, takich jak zatwierdzenie wiadomości ustne lub e-mail, a także uwierzytelnianie tekstowe przed przeniesieniem numeru komórkowego na nowy telefon.

Zdaniem Erica Cole’a, założyciela i dyrektora generalnego Secure Anchor Consulting, wzrost liczby zgłoszonych przestępstw jest częściowo związany z boomem kryptowalutowym w 2021 roku.

"Widziałem od 15 do 20 mln dolarów skradzionych w ramach jednej zamiany karty SIM, ponieważ jedynym źródłem ochrony było uwierzytelnianie wieloskładnikowe. Miało miejsce co najmniej 30 takich przestępstw w ciągu ostatnich sześciu miesięcy. Ofiary straciły łącznie ok. 320 mln dolarów z kont kryptograficznych, a jedna z nich pożegnała się z 43 mln dolarów." - powiedział Cole na łamach dziennika "The Wall Street Journal".

Kradzież kart SIM - jak się bronić?

Specjaliści ds. cyberbezpieczeństwa zalecają podjęcie kroków, które niezależnie od działań operatorów telekomunikacyjnych, pozwolą zabezpieczyć się przed utratą karty SIM.

"Nie należy chwalić się posiadaniem aktywów finansowych, w tym kryptowalut w serwisach społecznościowych i forach internetowych. Trzeba też unikać umieszczania danych osobowych w internecie, takich jak numery telefonów komórkowych, adresy lub inne informacje umożliwiające identyfikację. Warto też używać silnych metod uwierzytelniania wieloskładnikowego, takich jak biometria, fizyczne tokeny bezpieczeństwa lub samodzielne aplikacje uwierzytelniające." - powiedział Politowicz.