SIM swapping

0
1589

SIM swapping to coraz bardziej rozpowszechniane zjawisko polegające na przejęciu karty SIM poprzez wyrobienie jej duplikatu bezpośrednio u operatora telekomunikacyjnego.

Nasi rozmówcy zauważali, że w zasadzie jedynym dostrzegalnym problemem jest chwilowa utrata dostępu do własnego numeru telefonu. Niewiele osób zdaje sobie jednak sprawę z faktycznej skali zagrożenia. Ta zaś wiąże się z możliwością kradzieży tożsamości, a w niektórych przypadkach prowadzi do utraty oszczędności.

Konsekwencje przejęcia karty SIM

Analizując następstwa SIM swappingu wystarczy odpowiedzieć sobie na pytanie w jaki sposób wykorzystujemy karty SIM poza możliwością wykonywania połączeń telefonicznych. Nie trudno wyobrazić sobie sytuacje, w której duplikat karty SIM wykorzystywany jest do przejęcia dostępu do konta pocztowego czy konta na portalu społecznościowym. Coraz częściej bowiem weryfikacja zmiany hasła następuje poprzez uwierzytelnienie za pomocą kodu wysłanego na numer telefonu. Potencjalny sprawca jest w stanie w zaledwie kilka minut uzyskać dostęp do naszego konta pocztowego/ konta w social mediach pozbawiając ofiarę możliwości jego odzyskania. Wystarczające jest przecież wprowadzenie zmiany w zakresie ustawionych procedur odzyskiwania hasła dostępu chociaż poprzez zmianę numeru telefonu czy adresu e-mail wykorzystywanych do przesłania kodu weryfikacyjnego lub linka do tzw. resetowania hasła.

Pozbawienie oszczędności najczęściej następuje poprzez uzyskanie w następstwie SIM swappingu dostępu do jednorazowych haseł wysyłanych przez bank w celu potwierdzenia wprowadzonej transakcji. – tłumaczy nam adwokat Bartosz Grube. – Oczywiście elementem niezbędnym jest tutaj dodatkowo dostęp do bankowości elektronicznej, ale ostatnio pojawiające się komunikaty wskazują, że potencjalni oszuści są w stanie bez większego problemu uzyskać od ofiary dostęp do danych logowania stosując coraz to nowsze socjotechniki. Często wykorzystywane są do tego programy umożliwiające zdalne sterowanie systemem operacyjnym poprzez Internet np. AnyDesk.

Luki w procedurach wydawania duplikatów kart SIM.

Specjaliści od cyberbezpieczeństwa niejednokrotnie wskazywali, że jednym z głównych powodów wyłudzeń kart SIM są niedostosowane do realiów naszych czasów procedury stosowane przez operatorów sieci komórkowych. Prowadzone w USA badania wykazały zasadniczą wadę procedur uzyskiwania duplikatów kart SIM – bazują one zawsze na weryfikacji danych, które mogą wyciekać z różnych miejsc lub pochodzić mogą od dostawców usług. Alternatywą dla wykorzystania danych osobowych mogą być pytania dotyczące ostatniego doładowania konta. Zabezpieczenia takie jest jedynie pozorne, każdy z nas może przecież doładować dowolny numer telefonu, aby następnie w procedurze uzyskiwania duplikatu karty SIM podać informacje dotyczące dokonanego przez siebie doładowania dla przejmowanego numeru.

Propozycje rozwiązań

Amerykańska Federalna Komisja Łączności (FCC) proponuje wprowadzenie przepisów prawnych zabraniających operatorom telekomunikacyjnym wydawanie duplikatów kart SIM bez uprzedniego wprowadzeni bezpiecznego uwierzytelnienia. Wydaje się jednocześnie, że najdalej idącą ochroną byłoby wprowadzenie zasady uwierzytelniania dwuskładnikowego. Inne rozwiązanie to wydanie duplikatu karty po uprzednim wskazaniu kodu zabezpieczającego przekazanego klientowi za pomocą innego kanału komunikacji (np. e-mail lub wiadomość SMS wysłanej na alternatywny numer telefonu wskazany przez abonenta).

Federalna Komisja Łączności podaje również, że formą daleko idącego zabezpieczenia byłoby ustalanie w momencie zawierania umowy hasła weryfikacyjnego warunkującego możliwość wydania przez operatora duplikatu karty. W sporządzonym dokumencie Komisja wskazuje również na potrzebę informowania klienta o wydaniu duplikatu karty (to umożliwiłoby natychmiastową reakcje w przypadku wydania duplikatu osobie nieuprawnionej). Zdaniem FCC rozwiązaniem dodatkowo zabezpieczającym abonentów byłoby jednocześnie informowanie abonenta o nieudanej próbie uzyskania duplikatu karty SIM oraz wprowadzenie okresu „karencji”, która wykluczałaby możliwość skutecznego złożenia ponownego wniosku o wydanie duplikatu karty po wcześniejszej odmowie.

Dodatkowo z prawnego punktu widzenia wprowadzenie regulacji nakładających na operatora określone obowiązki zdecydowanie poprawiłoby sytuacje prawną abonenta, który w przypadku ich niedochowania, dysponowałby zdecydowanie prostszym mechanizmem możliwości dochodzenia naprawienia wyrządzonej szkody.

SIM swapping – jak możemy się zabezpieczyć?

Nie mając większego wpływu na termin wprowadzenia do systemów prawnych zasad bezpieczeństwa możemy jednocześnie zminimalizować aktualnie występujące ryzyko. Czynności, które możemy wykonać to: stosowanie „silnych” haseł dostępu bez elementów naszych danych osobowych, korzystanie z uwierzytelniania dwuskładnikowego, uwierzytelnianie przelewów przez aplikacje, a nie jednorazowe wiadomości SMS, zaniechanie udostępniania w mediach społecznościowych danych mogących służyć do uzyskania duplikatu karty oraz unikanie instalowania aplikacji umożliwiających zdalne sterowanie systemem operacyjnym przez Internet – radzi adwokat Bartosz Grube.

 

Oprac. Paweł Musiał