Zdroj: Europol
O technike SIM swappingu sme už rozprávali aj v našom incident podcaste, ale pripomeňme si o čo ide. Vaša SIM karta v mobile vám umožňuje telefonovať a posielať/prijímať SMS správy. Práve SMS správy sa používajú na overenie identity v bankách a iných službách. Ak sa chcú útočníci dostať do vášho účtu chráneného cez mobilné číslo, tak potrebujú vašu SIM kartu.
Jedna aj keď trochu náročná možnosť je vám mobil rovno ukradnúť. Druhá možnosť je zistiť vaše osobné údaje a mobilného operátora, sfalšovať vaše doklady a ísť za vašim mobilným operátorom, aby im vydal novú SIM kartu na to isté číslo. Niekedy majú útočníci komplica priamo u mobilného operátora. To, že vás niekto SIM swappoval zistíte tak, že vám zmiznú paličky signálu na mobile a vaša SIM karta sa nevie pripojiť do siete.
Operácia Quinientos Dusim
Španielska Policía Nacional spolu s Guardia Civil a Europolom zatkli v januári 12 podozrivých z tejto trestnej činnosti. Išlo o osoby vo veku 22 až 52 rokov z Talianska, Rumunska, Kolumbie a Španielska. Organizovaná skupina mala za sebou viac ako 100 útokov a jednotlivé krádeže im vyniesli 6.000 až 137.000 eur. SIM swapping útoky im dokopy priniesli viac ako 3 milióny eur.
Postup kriminálnikov bol nasledovný. Najprv svoje obete hackli, aby zistili prístupové údaje do internet bankingu a číslo mobilu. Neskôr pomocou falošných dokumentov dokázali presvedčiť mobilného operátora obete, aby im vydal novú SIM kartu. Vďaka novej SIM karte dostali kódy pre dvojfaktorovú autentifikáciu oni a nie obeť. Posledný krok bol previesť peniaze na pripravené účty. To všetko stihli do 1 alebo 2 hodín.
Operácia Smart Cash
Rumunská Poliția Română a rakúsky Bundeskriminalamt s podporou Europolu zatkli vo februári 14 členov kriminálnej skupiny, ktorý používali SIM swapping na krádeže v Rakúsku. Tento gang postupoval trochu inak. Po získaní kontroly nad SIM kartou prihlasovacími údajmi do internet bankingu sa prihlásili do mobilnej aplikácie banky. Následne si vygenerovali kód na výber z bankomatu bez potreby bankomatovej karty.
Ako sa chrániť?
- majte svoje zariadenia aktualizované
- pri komunikácii emailom buďte obozretní a radšej si informácie z nečakaného emailu overte priamo v banke
- nevyzrádzajte svoje osobné informácie pri komunikácii s cudzími ľuďmi cez email, telefón alebo osobne
- dávajte si pozor, či vaše statusy, fotky alebo videá na sociálnych sieťach neprezrádzajú o vás príliš veľa
- používajte dvojfaktorovú autentifikáciu, najlepšie cez hardvérový token (jedine hardvérový token sa nedá vyphishovať)
- ak ide o veľa, nespájajte svoje bežne používane mobilné číslo s autentifikáciou služieb
- nastavte si PIN na SIM karte, ktorý nie je 0000. Samozrejme ak na vás bude niekto mieriť zbraňou, tak sa nehrajte na hrdinov.
Obrázok: Europol
