sim swapping что это
Новый вид кражи: крипту уводят по номеру телефона. Что делать
За последние несколько лет все более популярным становится новый вид мошенничества под названием сим-свопинг (sim swapping). Помимо получения доступа к банковским счетам и личным данным, он также используется для воровства криптовалюты. В этом материале расскажем, в чем суть такого мошенничества и как защитить свои монеты от него.
Что такое сим-свопинг
Это вид мошенничества, при котором злоумышленник создает себе сим-карту, дублирующую номер жертвы. Для этого злоумышленнику нужно выполнить несколько шагов.
Схема сим-свопинга состоит из 3-х этапов
Сначала мошенник получает доступ к личным данным своей жертвы. Например, использует фишинговые сайты, вредоносное программное обеспечение, вирусы. Также он ищет всю публично доступную информацию о человеке в сети.
Затем мошенник обращается к мобильному оператору под видом жертвы и сообщает, что его сим-карта утеряна либо перестала работать. Затем, в зависимости от оператора, злоумышленник либо выпускает новую сим-карту, либо добивается переноса данных жертвы на свою. В результате, мошенник может принимать SMS и отвечать на звонки по номеру телефона другого человека. А оригинальная сим-карта человека перестает работать.
При помощи сим-карты и украденных ранее данных, мошенник получает доступ к онлайн-сервисам владельца номера. В частности, к приложениям банков, криптовалютным кошелькам, аккаунтам на криптовалютных биржах. Наличие сим-карты с номером телефона дает возможность пройти двухфакторную аутентификацию на большинстве таких сервисов и вывести или продать все монеты.
Рекомендуем материал
Примеры кражи криптовалют с помощью сим-свопинга
Несмотря на сложность и необходимость взаимодействия с мобильным оператором, такой вид мошенничества встречается все чаще. И он распространен в разных странах: от России до США.
Транзакции по выводу 60 тыс. BCH с кошелька Zhoujianfu. Источник: explorer.bitcoin.com
Помимо громких случаев с кражей криптовалюты на миллионы долларов, по всему миру регулярно происходят случаи сим-свопинга на меньшие суммы. Например, в начале 2020 года у жителя Красносельского района Москвы подменили сим-карту и получили доступ к его Telegram-аккаунту. На нем был установлен бот для обмена криптовалют, на балансе которого был 1,09 BTC — через него злоумышленники и продали криптовалюту. На момент продажи, ее стоимость составляла более 700 тыс. руб.
Как защитить себя от сим-свопинга
На сайте Европола есть отдельная страница с информацией о сим-свопинге. Помимо стандартных рекомендаций по безопасности в интернете, там перечислены советы, следуя которым можно обезопасить себя именно от такого вида мошенничества:
Первый признак сим-свопинга — на телефоне, без видимых на это причин, начинает пропадать связь. Например, если она пропадает в офисе или дома, и это случается впервые, то лучше сразу обратиться в ближайшее отделение мобильного оператора. Если там подтвердят, что есть другая сим-карта с таким же номером, то ее нужно сразу заблокировать и написать заявление в полицию.
Рекомендуем материал
Заключение
В сети набирает популярность сим-свопинг. Это новый вид мошенничества, при котором злоумышленник получает доступ к личным данным человека и при помощи них создает себе новую сим-карту с номером его телефона. При помощи нее он получает доступ к приложению банка, криптовалютным кошелькам и биржам.
Злоумышленники «охотятся» как за известными держателями криптовалют, так и за обычными пользователями. Чтобы защититься от сим-свопинга, нужно придерживаться правил безопасности и следить за публикацией своего номера в сети.
Обложка и иллюстрации:
Екатерина Ярмаркина
Как не стать жертвой SIM-свопинга
Привязывая свою SIM-карту к различным аккаунтам помните, что вы даете шанс злоумышленникам получить контроль над ними. В этой статье вы узнаете как можно обезопасить себя от такого вида мошенничества!
Что такое SIM-свопинг
SIM-свопинг или подмена SIM-карты это мошеннический прием, при котором злоумышленники с помощью перевыпуска SIM-карты получают полный доступ и контроль над аккаунтами связанными с данной картой
Распространенность проблемы
Нарастающая угроза мошенничества с подменой SIM-карт была выявлена исследованием, которое в январе 2020 года опубликовала группа профессоров и аспирантов факультета компьютерных наук Гарвардского университета и Центра политики в области информационных технологий Принстонского университета.
В ходе исследования был протестирован протокол аутентификации пяти крупнейших мобильных операторов США — AT&T, T-Mobile, Tracfone, US Mobile и Verizon. Попытавшись произвести атаку с подменой SIM-карты на 10 различных аккаунтов каждого оператора, авторам исследования удалось выяснить, что все 5 из них используют небезопасные методы аутентификации.
Так же актуальна эта проблема и для Украины. В 2019 году неизвестному гражданину удалось снять более 26 тыс. грн со счетов Приват банка и Monobank, убедив сотрудника контакт-центра телефонного оператора перевыпустить SIM-карту, которая и была привязана к выше указанным счетам.
Как мошенники могут получить доступ к криптовалюте с помощью SIM-карты
Как защититься от SIM-свопинга
Если правилами площадки, на которой вы торгуете, предусмотрена привязка мобильного номера к аккаунту, то есть несколько способов защиты, которые помогут уберечь свой аккаунт от взлома.
Помните, что ни один из этих методов не является 100% гарантией защиты от мошенников, сохранности ваших активов и персональных данных.
Что такое SIM-свопинг и как защитить от него свои крипто-активы
Чем опасен SIM-свопинг?
Первая серия крупных краж криптовалют с помощью SIM-свопинга произошла еще зимой 2016 года в США. Жертвы хранили криптовалюты на различных биржах, используя двухфакторную авторизацию, когда для доступа с нового устройства надо получить код на телефон.
Сначала мошенники узнают номер телефона и персональные данные жертвы (через открытые источники или через сотрудников операторов за часть вознаграждения). После этого блокируют симку — для этого достаточно лишь позвонить в службу поддержки, представиться и сообщить о потере телефона. Затем надо добиться перевода номера на свою симку. Сделать это можно по-разному: обманув менеджера, вступив в сговор с сотрудниками телеком-компании или просто попав на сговорчивого представителя службы поддержки.
Получив нужные данные, мошенники устанавливают контроль над номером. Это дает им доступ к большинству интернет- и банковских сервисов, которые используют двухфакторную аутентификацию и к которым привязана симка. В том числе и к криптобиржам и онлайн-кошелькам. « Важно понимать, что SIM-свопинг — это не только и не столько о криптовалютах. Прецеденты с похищением криптовалюты — частный случай, который получил резонанс. В целом же угроза намного более глобальна и затрагивает все аспекты защиты персональных данных», — заметила Екатерина Малярова, кандидат юридических наук, преподаватель программы дополнительного образования BCL.
Насколько распространен SIM-свопинг?
Точных данных никто не знает. Сотовые операторы России не ответили на наш запрос.
Больше всего громких случаев SIM-свопинга произошло в США. Речь идет о нескольких тысячах прецедентов в год. Судя по всему, главная цель американских хакеров — активные члены криптосообщества, держатели крупных сумм в криптовалютах. По словам биткоин-предпринимателя Джоби Уикса, он не знает ни одного человека из американского крипто-комьюнити, у которого не воровали бы номер. Полиция Калифорнии даже взяла случаи SIM-свопинга на особый контроль, а по данным отчета CipherTrace, SIM-свопинг — трендовое направление среди мошенников в 2018 году.
Также в 2018 году за SIM-свопинг арестовали:
21-летнего Николаса Трулья, обвиняемого во взломе симок нескольких крупных предпринимателей из Кремниевой долины и краже крупных сумм с кошельков на Coinbase и Gemini;
25-летнего Джозефа Хандшумахера, обвиняемого в краже 57 ВТС;
20-летнего Доусона Бейкиса, обвиненного в 50 случаях мошенничества с использованием SIM-свопинга.
« Данный вектор атаки довольно старый, раньше его использовали для кражи средств через онлайн-банкинг. SIM-карты очень плохо защищены и легко клонируются. Также легко сделать копию сим-карты у самого оператора», — заметил Эдуард Барк, сооснователь криптовалютной биржи EXMO.
Упоминаний о подобных арестах в России пока нет, но если вы или ваши знакомые столкнулись с SIM-свопингом, напишите об этом в комментариях.
Можно ли вернуть похищенные средства?
Если кто-то украл деньги с вашего банковского счета, вы, скорее всего, сможете их вернуть. Если мошенник получил доступ к вашему крипто-кошельку, вам вряд ли удастся восполнить потери. Ведь в случае с SIM-свопингом непонятно, кто должен нести ответственность за утрату средств — оператор, биржа или сам владелец кошелька? Насколько нам известно, пока ни одна биржа или оператор не компенсировали пострадавшим их убытки.
« Полагаю, что ключевую роль в процессе обеспечения безопасности владельцев SIM-карт должна быть отведена собственно не владельцам, а мобильным операторам. Как показывают исследования, в значительном числе случаев SIM-свопинг становится возможным благодаря внутренним утечкам информации, а также участию сотрудников телеком-компаний в этих атаках», — отметила Екатерина Малярова.
Эдуард Барк, сооснователь криптовалютной биржи EXMO, в случае доказанной кражи с использованием SIM-свопинга посоветовал « обращаться к оператору, так как злоумышленник воспользовался всеми данными, которые пользователь (пусть и не специально, а по неосторожности) ему предоставил».
Как еще мошенники могут получить доступ к криптовалютам жертвы через SIM-карты?
К сожалению, SIM-свопинг не единственная угроза, исходящая от сим-карт.
Перехват СМС с паролем. Чтобы получить доступ к счетам, не всегда нужно воровать номер. С помощью протокола Signaling System 7 (SS7) мошенники умеют перехватывать коды и текстовые послания в СМС. Еще в 2017 году Positive Technologies провели эксперименты по перехвату СМС и подключению к аккаунтам Coinbase, показавшие, насколько просто войти в чужие аккаунты.
Переадресация сообщений. Мошенники могут также взломать личный кабинет пользователя на сайте оператора и настроить переадресацию всех сообщений на другой номер.
Простое воровство. В конце концов, симку или телефон можно просто украсть. Пока жертва заметит пропажу, злоумышленники могут вывести все средства.
Как не стать жертвой SIM-свопинга?
Самый простой и очевидный совет — это не привязывать аккаунт к сим-карте. Но, к сожалению, многие сервисы требуют номер мобильного телефона в обязательном порядке. В этом случае обезопасить свои активы и персональные данные поможет соблюдение перечисленных ниже рекомендаций.
Не указывать публично номер телефона, к которому привязаны аккаунты на крипто-площадках. Не сообщайте этот номер никому и нигде его не публикуйте. Это должен быть отдельный номер телефона, купленный специально для привязки к аккаунту на бирже или крипто-кошельке. Не привязывайте на этот номер аккаунты соцсетей, почты или других бирж. Один аккаунт/кошелек — один номер.
Телефон с симкой лучше хранить отдельно, в защищенном месте. Вы должны пользоваться этим номером раз в 2−3 месяца и не забывать его пополнять, чтобы оператор не заблокировал его и не отдал другому человеку.
Установите дополнительный пароль. Чтобы заблокировать симку, достаточно позвонить оператору и назвать ФИО. Но большинство операторов предоставляют возможность установить дополнительный пароль. Тогда, если кто-то обратится за блокировкой симки или ее перевыпуском, у него запросят не только ФИО, но и пароль.
Не используйте двухфакторную аутентификацию. Вместо нее, если позволяет платформа, используйте специальную программу для двухфакторной аутентификации. Например, Google Authenticator, Authy, Microsoft Authenticator, Duo или Authenticator plus. Эти приложения привязываются к смартфону, а не к номеру, и генерируют временные коды (живущие 30 секунд) для входа в аккаунт. Чтобы перестраховаться, запишите где-нибудь копию ключей от приложений аутентификации на случай, если потеряете или сломаете телефон. Помните, что аутентификацию с помощью приложения надо также поставить и на другие сервисы, привязанные к аккаунту на бирже. Например, к почтовому ящику.
Вместо приложений можно также использовать метод физической аутентификации — аппаратные USB и NFC ключи безопасности, например, Yubikey.
« Не пользуйтесь двухфакторной аутентификацией с помощью SMS, используя вместо них TOTP-коды для аутентификации, не отправляйте свой номер телефона незнакомым людям и не публикуйте его в открытых источниках», — посоветовал держателям криптовалют Эдуард Барк, сооснователь криптовалютной биржи EXMO.
Отключите переадресацию звонков. Это значительно затруднит план мошенников получить быстрый доступ к вашим данным.
Храните средства на холодных автономных кошельках, а сами кошельки — в сейфе или другом, недоступном для посторонних людей и хакерских атак месте.
Оберегайте свои персональные данные. Если у мошенников будут ваши паспортные данные, скан или копия паспорта, их шансы обмануть доверчивых сотрудников сотового оператора резко возрастают.
Сохраняйте анонимность. Не обязательно быть параноиком, но не стоит лишний раз говорить, на какой бирже вы храните средства, сколько именно у вас биткоинов и как вы купили ламбо после очередного бычьего ралли.
Будьте бдительными. Банально не оставляйте телефон без присмотра. Если внезапно пропадает связь и не получится никуда дозвониться, не откладывайте звонок оператору и блокируйте номер.
Важно понимать, что ни один из этих способов не является гарантией сохранности активов и персональных данных. Чтобы защитить свои средства, надо использовать весь арсенал защиты от крипто-мошенников.
Эдуард Барк также посоветовал: « Чтобы избежать потери средств из-за SIM-свопинга или других видов мошенничества, мы рекомендуем включать обязательную полную защиту аккаунта (выбор данной позиции означает, что при изменении настроек профиля, вывода средств или авторизации, помимо стандартных логина и пароля в целях дополнительной защиты будут использованы уникальные одноразовые коды через Google Authenticator), не использовать одинаковые пароли для почты и персонального аккаунта, не открывать подозрительные письма и не переходить по незнакомым ссылкам. Кроме того, у нас очень сильный антифрод-департамент, который контролирует поведение пользователя, а в случае обнаружения подозрительной активности может временно приостановить вывод и запросить некоторые данные у пользователя для его дополнительной идентификации».
А вы или ваши знакомые сталкивались с SIM-свопингом? Напишите в комментариях.
Волна атак SIM-свопинга может ударить по вашему устройству
SIM-свопинг (подмена SIM-карты): что это такое, как его предотвратить и что делать, если ваш мобильный телефон был украден
В Испании ежегодно похищается порядка 300 000 мобильных телефонов. Другими словами, каждый час похищается порядка 30 устройств. Это «интересный бизнес» для карманников и воров, которые продают их по смешной цене. Но кража мобильных устройств становится той курицей, которая несет золотые яйца для организованных хакерских группировок.
Хотя непосредственный ущерб от потери последней модели Apple, Samsung или XiaoMi может составлять от 300 до 1300 евро в зависимости от модели устройства, реальная проблема возникает тогда, когда человек, который украл мобильный телефон, является не только карманником, но и кибер-преступником.
В этом случае вы можете стать жертвой SIM-свопинга – техники, которая в последнее время используется хакерами для подмены SIM-карты мобильного устройства жертвы. Таким образом, они могут получить доступ ко всей персональной информации жертвы и, помимо этого, они могут использовать ее при проверке личности через мобильный телефон, которая, как правило, используется всеми банками при работе через Интернет.
Это означает, что хотя большинство всех банковских приложений являются очень безопасными со сложными протоколами для ключей доступа, шифрованием коммуникаций и виртуальными клавиатурами, цифровые мошенники могут обойти системы безопасности с помощью техник под названием “социальной инженерии“, которые заключаются в обмане пользователей за счет методов убеждения и психологической манипуляции.
Впрочем, вместо того, чтобы напрямую обманывать жертв, SIM-свопинг часто проводится путем обмана продавцов магазинов мобильных устройств. Хакеры убеждают продавцов мобильных операторов передавать телефонные номера на контролируемые ими SIM-карты с помощью дубликата SIM-карты.
Как правило, телефонные операторы всегда требуют, чтобы пользователи шли в официальный «реальный» магазин сервис-провайдера и предоставляли свои персональные данные для авторизации дубликата (копии) SIM-карты. Впрочем, возможны и человеческие ошибки.
С другой стороны, нужно помнить, что для «умных парней» достаточно легко получить данные от пользователей с помощью вредоносной программы, фишинговых техник или просто в результате покупки баз данных в темном Интернете. Таким образом, даже если они не получат дубликат SIM-карты, они все равно смогут расшифровать мобильный код доступа.
Советы, как не пасть жертвой SIM-свопинга
Следуйте нижеприведенным рекомендациям, чтобы не стать жертвой SIM-свопинга:
Как защититься от SIM Swapping, или чем плоха привязка аккаунта к SIM-карте
В настоящее время для защиты своих аккаунтов люди используют двухфакторную аутентификацию. К сожалению, чаще всего это — привязка учётной записи к номеру телефона для получения SMS-сообщений с одноразовыми кодами доступа. Такой способ, безусловно, удобен; почему тогда «к сожалению»? Ответом является набирающая популярность атака — SIM Swapping, или подмена SIM-карты. Впрочем, что радует, есть способы её избежать.
Введение
Перевыпуск SIM-карты — стандартная процедура, которую предоставляют операторы связи. Скорее всего, вы с ней сталкивались при покупке нового мобильного телефона, в котором использовалась SIM-карта другого размера. Для замены владельцу карты или его представителю необходимо посетить офис оператора связи, предъявить документы и заполнить анкету. Однако также можно заменить SIM-карту и без визита в офис: «Билайн», МТС и «Мегафон» предоставляют такую услугу. Для этого надо сформировать онлайн-заявку с указанием персональных данных (Ф. И. О., данные паспорта).
Удобно, не правда ли? Злоумышленники не могли не воспользоваться таким удобным способом получения SIM-карты для дальнейшего прохождения двухфакторной аутентификации. В этом — суть атаки SIM Swapping. Для её реализации злоумышленнику необходимо получить ваши персональные данные.
К сожалению, в современном мире сделать это весьма легко и дёшево. Примерами могут послужить попадание персональных данных клиентов «Билайна», РЖД, гостиничной сети Marriott, VPN-сервисов в Сеть, а также покупка сведений о нужном человеке на специализированных форумах в даркнете или у сотрудников банков, операторов сотовой сети и т. д. Источником информации для злоумышленника можете служить и вы сами; для этого киберпреступники используют разные приёмы социальной инженерии. Например, вам могут прислать ссылку на фишинговый сайт интернет-магазина, где для заказа необходимо будет оставить свои данные, или позвонить и представиться сотрудником безопасности банка, пытаясь выудить сведения под предлогом верификации вас как владельца карты. К тому же все мы самостоятельно выкладываем много личной информации в социальные сети, что позволяет злоумышленникам лучше подготавливать индивидуальные атаки.
Получив необходимые персональные данные, киберпреступник изображает из себя владельца SIM-карты и производит её перевыпуск: звонит оператору связи с просьбой переоформить ваш номер на его SIM-карту, либо заказывает доставку последней, либо делает доверенность, посещает офис оператора связи и получает искомое за несколько минут. Возможен и подкуп сотрудников оператора сотовой связи, способных выполнить перевыпуск SIM-карты или переоформить ваш номер на карту злоумышленника.
В результате успешной атаки SIM Swapping преступник будет получать звонки и SMS-сообщения, предназначенные для жертвы.
Как понять, что вы стали жертвой атаки SIM Swapping? Ярким признаком является потеря сотовой сети, но причиной этому могут служить и другие факторы — так что многие ждут восстановления сигнала и теряют на это время. Также вам могут начать поступать SMS-оповещения о замене SIM-карты или коды подтверждения от различных сервисов, уведомления о привязке нового устройства к вашему аккаунту.
С учётом распространённости использования различных онлайн-сервисов и приложений (банковские, почтовые, мессенджеры и т. д.), доступ к которым восстанавливается в том числе с помощью SMS-сообщений с одноразовыми кодами, данная угроза может дать злоумышленнику доступ к рабочей и личной переписке, а также к банковским счетам жертвы. В последнее время популярной целью атаки является доступ к криптокошелькам.
Способы предотвращения атаки
К счастью, есть способы предотвращения данного вида атаки.
В первую очередь надо сходить в офис мобильного оператора и написать заявление о запрете перевыпуска SIM-карты по доверенности.
Для доступа к критическим ресурсам (банковские счета или криптокошельки, например) используйте иные SIM-карты, о которых вы не будете никому рассказывать, дабы избежать привязки ваших персональных данных к «публичному» номеру телефона.
Не только во избежание атаки SIM Swapping, но и в целом для увеличения безопасности персональных данных последние не стоит выкладывать в интернет, в том числе — передавать с помощью мессенджеров или электронной почты, загружать в облачные хранилища.
Заметим, что крупные операторы мобильной связи знают о проблеме и принимают меры на своей стороне. Один из вариантов — наложение временных ограничений на перевыпущенную SIM-карту: в течение суток с момента активации карта не сможет принимать SMS-сообщения от банков.
Рисунок 1. Пример уведомления об ограничениях от мобильного оператора
Указанные методы помогают усложнить задачу по подмене вашей SIM-карты, но не являются достаточными. При возможности надо отказаться от привязки аккаунта к номеру телефона, а для двухфакторной аутентификации использовать альтернативные способы.
Альтернативные способы защиты аккаунтов
Использовать одноразовые коды как второй фактор для аутентификации привычно и удобно, но их можно получать не только с помощью SMS-сообщений.
Так, одноразовые пароли можно заранее сгенерировать, записать на любой носитель и в дальнейшем использовать их при входе. «Минусами» данного метода являются потенциальная недоступность носителя с кодами, а также ограниченное количество последних: рано или поздно коды закончатся, и это может произойти в неподходящий момент. Дабы избежать таких неловких ситуаций, можно использовать специальные приложения.
Программы для прохождения двухфакторной аутентификации набирают всё большую популярность. Они устанавливаются почти на любой современный мобильный телефон, количество поддерживающих их ресурсов растёт, а в использовании они настолько же просты, как и получение SMS-сообщений — только одноразовые коды не приходят извне, а генерируются на вашем телефоне. Это не только более безопасно, но и более удобно, потому что вы получаете код даже при отсутствии связи. Для использования такого приложения многого не потребуется. Надо лишь скачать понравившуюся программу (или ту, которую можно использовать на конкретном ресурсе) и включить в настройках онлайн-сервиса двухфакторную аутентификацию с использованием выбранного приложения. Сервис покажет QR-код, который можно сканировать через камеру устройства. Таким образом, вы привязываете не свою SIM-карту, а приложение.
В качестве программ для прохождения двухфакторной аутентификации лучше использовать продукты крупных компаний или проверенные open source-решения: например, Google Authenticator (iOS, Android), «Яндекс.Ключ» (iOS, Android), DUO Mobile (iOS, Android), Microsoft Authenticator (iOS, Android), FreeOTP Authenticator (iOS, Android), Twilio Authy (iOS, Android). Принцип работы у всех приложений одинаков, но есть разница в функциональности, поэтому попробуйте несколько и выбирайте более удобное для вас.
Третьим альтернативным способом является использование U2F-токена. Во время привязки токена на ресурсе создаётся пара ключей: закрытый и открытый. Закрытый ключ хранится на токене и используется для шифрования подтверждения входа, а публичный ключ сервиса сможет его расшифровать. При прохождении аутентификации вместо ввода одноразовых кодов надо предоставить токен. Для удобства они могут иметь не только USB-интерфейс, но также NFC- и Bluetooth-соединение. Более подробно о U2F-токене вы можете прочитать здесь.
Действия при выявлении атаки
Если вам не повезло и вы стали жертвой атаки SIM Swapping, то постарайтесь как можно быстрее заблокировать вашу SIM-карту. Лучше всего сделать это в первые сутки. Правда, для этого необходимо заранее подготовить альтернативные источники доступа к оператору связи (другой мобильный телефон, Skype, мессенджеры), а также знать, на какой номер звонить.
Выводы
Получение одноразовых кодов доступа с помощью SMS-сообщений для прохождения двухфакторной аутентификации в различных сервисах — дело привычное, простое, но небезопасное. Даже использование представленных выше методов предотвращения атаки SIM Swapping не защитит от неё полностью.
При этом атака SIM Swapping может принести большой вред — как денежный, так и репутационный.
Для прохождения двухфакторной аутентификации безопаснее использовать U2F-токены или приложения, генерирующие одноразовые коды доступа. Привязку же аккаунта к SIM-карте используйте только в тех случаях, когда нет альтернативы, и постарайтесь завести для этого отдельный никому не известный номер.