CheckMag | Porwanie przez port-out: Jak zabezpieczyć się przed atakami polegającymi na wymianie kart SIM

Wyobraźmy sobie świat, w którym wykonujemy codzienne czynności na telefonie, sprawdzając najnowsze wiadomości e-mail, czytając ulubione artykuły, czy to na Notebookcheck, czy w lokalnej gazecie, ale nagle zdajemy sobie sprawę, że od wczoraj nie otrzymaliśmy żadnych wiadomości tekstowych ani nawet połączeń telefonicznych. Dziwne, myśli Pan. Ale kontynuuje Pan, nic o tym nie myśląc.

Nagle otrzymują Państwo powiadomienie z aplikacji bankowej. 200 dolarów zostało właśnie wysłane do osoby, której pan nie rozpoznaje. Kolejne 500 dolarów, tym razem na konto Amazon. O nie, ktoś musiał uzyskać dostęp do Państwa konta bankowego. Próbują Państwo zadzwonić do swojego banku. Połączenie nie nawiązuje się. W panice biegną Państwo do banku.

Wychodząc za drzwi, na telefonie komórkowym wyskakują kolejne wiadomości. Ktoś zalogował się do Pana/Pani poczty e-mail, konta Steam i konta X. Sytuacja robi się poważna.

W banku, po rozmowie z konsultantem ds. bezpieczeństwa, dowiadują się Państwo, że ktoś uzyskał dostęp do Państwa aplikacji bankowej za pomocą uwierzytelniania dwuskładnikowego. Ale jak to możliwe? Proste, informuje; padł Pan ofiarą jednej z rzadszych form kradzieży tożsamości, w której ktoś przekonuje dostawcę usług mobilnych do przeniesienia numeru telefonu komórkowego na nową kartę SIM. Teraz otrzymują oni kody uwierzytelniania dwuskładnikowego, tak jak kiedyś Państwo, dając w ten sposób podmiotom zagrażającym dostęp do prawie wszystkich Państwa kont.

Podczas gdy w niektórych krajach obowiązują już przepisy zapobiegające takim sytuacjom, inne albo są w trakcie wprowadzania przepisów, albo po prostu nie mają żadnych środków ochrony konsumentów. Nawet jeśli są Państwo zaznajomieni z protokołami bezpieczeństwa i są Państwo na bieżąco, jeśli chodzi o tego typu sprawy, nadal mogą Państwo paść ofiarą.

Tylko w Stanach Zjednoczonych https://www.ic3.gov/Media/Y2022/PSA220208liczba doniesień o takich przestępstwach wzrosła o ponad 300% tylko w ciągu ostatnich 5 lat. Oto kilka wskazówek, które pomogą Państwu się zabezpieczyć, ale podobnie jak w przypadku każdego ataku socjotechnicznego, najlepszą praktyką jest zawsze sceptycyzm, jeśli chodzi o ochronę danych osobowych:

• Proszę unikać dzielenia się szczegółami na temat swoich aktywów finansowych, w tym inwestycji w kryptowaluty, w mediach społecznościowych i na forach.
• Nigdy nie należy ujawniać informacji o koncie mobilnym, hasła lub kodu PIN przez telefon niechcianym rozmówcom. Proszę zweryfikować zasadność połączenia, kontaktując się bezpośrednio z obsługą klienta operatora komórkowego.
• Proszę powstrzymać się od publikowania w Internecie danych osobowych, takich jak numer telefonu komórkowego lub adres.
• Proszę używać unikalnych i silnych haseł do kont internetowych.
• Proszę zwracać uwagę na wszelkie nietypowe wiadomości tekstowe.
• Proszę wdrożyć solidne metody uwierzytelniania wieloskładnikowego, takie jak biometria, fizyczne tokeny bezpieczeństwa lub samodzielne aplikacje uwierzytelniające, aby zabezpieczyć konta online.
• Proszę unikać przechowywania haseł, nazw użytkownika lub innych danych logowania w aplikacjach mobilnych.
• Proszę unikać korzystania z publicznych sieci Wi-Fi w celu uzyskiwania dostępu do poufnych informacji lub przeprowadzania transakcji finansowych. W razie potrzeby proszę korzystać z zaufanej wirtualnej sieci prywatnej (VPN).

Jak zawsze, ważne jest, aby zadawać pytania, gdy nie są Państwo czegoś pewni. W żadnym wypadku nie powinni Państwo pozostawać w niewiedzy, jeśli chodzi o bezpieczeństwo Państwa danych osobowych. W razie potrzeby należy zwrócić się do profesjonalisty o poradę i informację zwrotną na temat tego, w jaki sposób można poprawić bezpieczeństwo. Niezastosowanie się do tego zalecenia może kosztować Państwa wiele pieniędzy, a także utratę wiarygodności i reputacji.

Jeśli podejrzewają Państwo, że padli ofiarą ataku polegającego na podmianie karty SIM, należy natychmiast skontaktować się z odpowiednimi władzami w celu zablokowania karty SIM oraz powiązanych aplikacji i usług. Jeśli zauważą Państwo, że z Państwa kontem bankowym dzieje się coś niezwykłego, należy natychmiast zgłosić oszustwo do banku, aby zapobiec dalszym stratom podczas badania sprawy.