sim swap что это
Как не стать жертвой SIM-свопинга
Привязывая свою SIM-карту к различным аккаунтам помните, что вы даете шанс злоумышленникам получить контроль над ними. В этой статье вы узнаете как можно обезопасить себя от такого вида мошенничества!
Что такое SIM-свопинг
SIM-свопинг или подмена SIM-карты это мошеннический прием, при котором злоумышленники с помощью перевыпуска SIM-карты получают полный доступ и контроль над аккаунтами связанными с данной картой
Распространенность проблемы
Нарастающая угроза мошенничества с подменой SIM-карт была выявлена исследованием, которое в январе 2020 года опубликовала группа профессоров и аспирантов факультета компьютерных наук Гарвардского университета и Центра политики в области информационных технологий Принстонского университета.
В ходе исследования был протестирован протокол аутентификации пяти крупнейших мобильных операторов США — AT&T, T-Mobile, Tracfone, US Mobile и Verizon. Попытавшись произвести атаку с подменой SIM-карты на 10 различных аккаунтов каждого оператора, авторам исследования удалось выяснить, что все 5 из них используют небезопасные методы аутентификации.
Так же актуальна эта проблема и для Украины. В 2019 году неизвестному гражданину удалось снять более 26 тыс. грн со счетов Приват банка и Monobank, убедив сотрудника контакт-центра телефонного оператора перевыпустить SIM-карту, которая и была привязана к выше указанным счетам.
Как мошенники могут получить доступ к криптовалюте с помощью SIM-карты
Как защититься от SIM-свопинга
Если правилами площадки, на которой вы торгуете, предусмотрена привязка мобильного номера к аккаунту, то есть несколько способов защиты, которые помогут уберечь свой аккаунт от взлома.
Помните, что ни один из этих методов не является 100% гарантией защиты от мошенников, сохранности ваших активов и персональных данных.
Мошенничество со сменой SIM-карты
Как работает мошенничество [ править ]
Мошенничество использует возможность поставщика услуг мобильной связи легко переносить телефонный номер на устройство, содержащее другой модуль идентификации абонента (SIM). Эта функция обычно используется, когда клиент потерял или украл телефон, или когда клиент переходит на новый телефон.
Мошенничество начинается с того, что мошенник собирает личные данные о жертве либо путем использования фишинговых писем, либо путем покупки их у организованных преступников [3], либо путем прямой социальной инженерии жертвы. [4]
Получив эти данные, мошенник связывается с оператором мобильной связи жертвы. Мошенник использует методы социальной инженерии, чтобы убедить телефонную компанию перенести номер телефона жертвы на SIM-карту мошенника. Это делается, например, выдавая себя за жертву, используя личные данные, чтобы выглядеть аутентичными, и заявляя, что они потеряли свой телефон. В некоторых странах, особенно в Индии и Нигерии, мошеннику придется убедить жертву одобрить замену SIM-карты, нажав 1. [5] [6] [4]
Во многих случаях номера SIM-карт меняют напрямую сотрудники телекоммуникационных компаний, подкупленные преступниками. [7]
Как только это произойдет, телефон жертвы потеряет соединение с сетью, и мошенник будет получать все SMS и голосовые вызовы, предназначенные для жертвы. Это позволяет мошеннику перехватывать любые одноразовые пароли.отправляется с помощью текстовых или телефонных звонков, отправленных жертве, и, таким образом, позволяет им обойти многие методы двухфакторной аутентификации учетных записей (будь то банковские счета, учетные записи социальных сетей и т. д.), которые полагаются на текстовые сообщения или телефонные звонки. Поскольку очень многие службы позволяют сбрасывать пароль только с доступом к номеру телефона для восстановления, мошенничество позволяет преступникам получить доступ практически к любой учетной записи, привязанной к номеру, к которому они получили доступ обманным путем. Это может позволить им напрямую переводить средства с банковского счета, вымогать у законного владельца или продавать счета на черном рынке за кражу личных данных.
Инциденты [ править ]
Что такое SIM-свопинг и как не стать жертвой мошенников
Привязка к номеру телефона различных финансовых сервисов – это, безусловно удобно. Однако двойная аутентификация через SMS может не только облегчить жизнь, но и стать шлюзом, через который злоумышленники завладеют вашими криптоактивами.
Что такое SIM-свопинг
Во многих онлайн-сервисах, в том числе, и криптовалютных, номер телефона чаще всего используется для двойной аутентификации. Казалось бы, это «золотой стандарт», надежно защищающий средства клиентов с помощью одноразовых паролей по SMS. Но на деле все не так безопасно.
SIM-свопинг или подмена SIM-карты – распространенная практика среди хакеров, благодаря которой они осуществляют кражи на миллионы долларов в криптовалютах и фиате. Суть схемы заключается в том, что злоумышленник завладевает данными жертвы, в частности, телефонным номером, после чего обращается к оператору мобильной связи с просьбой перевыпустить карту, выдавая себя за другого человека. После того, как в руках хакера оказывается SIM-карта, он может войти в любой сервис, к которому привязана проверка по номеру телефона, в том числе и в криптовалютный кошелек.
Однако SIM-свопинг довольно сложно реализовать: он технически возможен при совпадении очень многих параметров, рассказывает операционный директор 10Guards Виталий Якушев.
«Иногда в новостях о том, что где-то украли какие-то деньги, ее (схему SIM-свопинга) используют как прикрытие каких-то мошеннических действий, поэтому не следует утверждать, что все взломы, о которых говорили, были благодаря этому», – отмечает специалист.
Поэтому большинство заявлений о SIM-свопинге очень похожи на отмывание денег. Но, тем не менее, лучше быть в курсе этой проблемы.
«SIM-свопинг – это когда мою личную SIM-карту восстанавливает другой человек. Такое возможно только в том случае, если имеет место нарушение по процедуре восстановления SIM-карты у мобильного оператора либо схема подкупа сотрудников, либо если у реального владельца анонимная карта, которую может восстановить любой человек, так как неизвестно, кто ее хозяин», – объясняет Виталий Якушев.
В таком случае, говорит эксперт, достаточно сообщить оператору определенную информацию, которая доказывает, что SIM-карта принадлежит именно вам и можно перевыпустить эту карту, заблокировав старую.
«Суть атаки SIM-своп заключается в том, чтобы установить, у кого из владельцев каких-нибудь активов, например, криптовалютных, или любых сервисов, есть двухфакторная аутентификация с получением информации по SMS или звонка на номер телефона», – рассказывает Виталий Якушев.
По словам специалиста, как только злоумышленники получают доступ к ресурсам через номер телефона, уже можно получить доступ и к криптовалютным активам, банковским активам и прочей информации.
Масштабы SIM-свопинга
Согласно данным Федеральной торговой комиссии (FTC), случаи завладения личными данными через SIM-карты в 2013 году составляли 3,2% от всех похищений личной информации, а уже в начале 2016 года их число увеличилось почти вдвое, составив 6,3% от всех случаев кражи личных данных. С каждым годом ситуация усугубляется и хакеры успешно пользуются клонированием SIM-карт или их подменой для получения доступа не только к аккаунтам социальных сетей, но и банковским или криптовалютным счетам.
Как уберечь криптоактивы
Несмотря на то, что проблема SIM-свопинга довольно распространена, можно предпринять ряд мер, которые помогут уберечь активы от кражи. Виталий Якушев рассказывает о первом правиле, которое нужно помнить для избежания хакерских атак.
«Нужно обязательно понимать, что к важным ресурсам привязывать двухфакторную аутентификацию через номер телефона – это заведомо опасно. Если использовать фактор, то лучше, чтобы это было либо мобильное приложение для получения второго фактора, либо аппаратный ключ, который выдает второй фактор», – говорит эксперт.
Но, если нет возможности использовать в качестве второго фактора ничего, кроме номера телефона, то желательно, чтобы это было контрактное подключение. Эксперт объясняет, что в таком случае по паспорту восстанавливается SIM-карта и проводятся все остальные процедуры с номером телефона. Также он рекомендует посетить офис мобильного оператора и написать заявление о том, чтобы любые действия с SIM-картой производилось только после предъявления паспорта, и, возможно даже, только в определенном отделении. Это, по словам Виталия Якушева, позволит держать под контролем все действия с SIM-картой.
«Я бы рекомендовал, в первую очередь, холодные кошельки, такие как Ledger, Trezor. Это первоочередные ресурсы, на которых можно спокойно и безопасно хранить свои активы», – рассказывает эксперт.
Также он советует криптовалютные кошельки Jaxx или Exodus, которые можно установить на компьютере, поскольку в них не нужно привязывать номер телефона или Google Authenticator.
«Если же использовать SIM-карту, я бы просто приобрел еще один телефон и еще одну SIM-карту, на которую установил бы Authy или Google Authenticator и этот номер нигде бы не показывал. То есть, у меня был бы отдельный номер телефона, о котором я нигде не буду заявлять публично, и никто о нем знать не будет», – рассказывает специалист.
Поскольку в криптовалютном сообществе SIM-свопинг является довольно частым явлением, то нужно использовать все доступные методы его предотвращения. Также следует помнить, что двухфазовая аутентификация по SMS сопряжена с риском мошенничества даже в том случае, если комплексно подходить к защите личных данных.
Sim swap что это
SimSwap: An Efficient Framework For High Fidelity Face Swapping
Proceedings of the 28th ACM International Conference on Multimedia
The official repository with Pytorch
Our method can realize arbitrary face swapping on images and videos with one single trained model.
Currently, only the test code is available. Training scripts are coming soon.
The high resolution version of SimSwap-HQ is supported!
Our paper can be downloaded from [Arxiv] [ACM DOI]
This project is for technical and academic use only. Please do not apply it to illegal and unethical scenarios.
Please do not ignore the content at the end of this README!
If you find this project useful, please star it. It is the greatest appreciation of our work.
2021-11-24 : We have trained a beta version of SimSwap-HQ on VGGFace2-HQ and open sourced the checkpoint of this model (if you think the Simswap 512 is cool, please star our VGGFace2-HQ repo). Please don’t forget to go to Preparation and Inference for image or video face swapping to check the latest set up.
2021-11-23 : The google drive link of VGGFace2-HQ is released.
2021-11-17 : We released a high resolution face dataset VGGFace2-HQ and the method to generate this dataset. This dataset is for research purpose.
2021-08-30 : Docker has been supported, please refer here for details.
2021-08-17 : We have updated the Preparation, The main change is that the gpu version of onnx is now installed by default, Now the time to process a video is greatly reduced.
2021-07-19 : Obvious border abruptness has been resolved. We add the ability to using mask and upgrade the old algorithm for better visual effect, please go to Inference for image or video face swapping for details. Please don’t forget to go to Preparation to check the latest set up. (Thanks for the help from @woctezuma and @instant-high)
The first open source high resolution dataset for face swapping.
SIM-свопинг: как защититься от угона сим-карты?
SIM-хайджекинг, или свопинг — это, по сути, угон сим-карты. Он может выполняться программно, через клонирование, или с помощью социальной инженерии. В результате мошенники получают доступ к номеру телефону, а через него доступ к биткоин-бирже, социальным сетям и другим ценным приложениям.
Что такое SIM-свопинг?
Каждый мобильный телефон оснащен картой модуля идентификации абонента, она же SIM-карта. Она содержит всевозможную уникальную информацию о телефоне, пользователе и его операторе. Самым важным элементом является номер телефона.
Мошенники используют копирование номера телефона у оператора мобильной связи на свою SIM-карту. Таким образом они получают доступ к различным ресурсам, связанным с мобильным телефоном жертвы. Атака ставит под угрозу методы двухфакторной аутентификации, которые используют SMS для авторизации.
Есть два основных метода сим-свопинга:
Также к методам, не связанным непосредственно с копированием, относятся:
Отдельно про уязвимость SS7
Мы не будем посвящать этому отдельную статью, но вам также нужно знать про SS7 в контексте угона сим-карт.
Сигнализационная система №7 — это старый технический протокол. Он используется и для биллинга мобильной связи, и для смс, и для подключения вызовов. Много уязвимостей в SS7 было закрыто, но некоторые до сих пор остаются. История атак действительно богата, звонки перехватывали даже у крупных мировых политиков.
Атака идет примерно таким образом:
Чем меньше развита кибер-безопасность в стране, тем легче получить доступ к этой сети. Часть инструментов, как всегда, находится на даркнет-рынках.
Ситуация в России
Все крупные мобильные операторы России заменяют сим-карту только при личном визите в офис со своим паспортом. Они также звонят владельцу, если кто-то приходит с заменой по доверенности. Переводы и банкинг запрещены на сутки, чтобы оградить от мошенничества. Тем не менее, это не защищает от злоумышленников полностью.
Во-первых, нужно надеяться на компетентных и честных сотрудников, которые не поддадутся уговорам и слезливым историям или не собираются продавать услугу замены карты на сторону.
Во-вторых, в интернете легко найти инструменты для копирования карты. Часто такие статьи размещаются с благой целью: создать себе дубликат на случай потери или для работы на двух телефонах. Но самое популярное использование таких программ совсем не в этом.
Редакция TJ связывалась с представителями «Мегафон» и «Билайн» о рисках копирования карт. Компании ответили, что таких случаев не было и для защиты от клонирования используется уникальный идентификатор. Тем не менее, несложно найти и программу для копирования Ki, по которому оператор проверяет подлинность карты. Мы не проверяли, насколько рабочие эти программы, но лишний уровень безопасности не помешает.
Как защититься от угона сим-карты?
У некоторых операторов можно подключить дополнительные услуги:
Для криптовалют есть отдельные советы, кроме общих советов по безопасности: