A biztonságtudatos internet használók már használják a többlépcsős azonosítást, ami nagyszerű. A legtöbben az SMS kód alapú azonosítást vagy hitelesítést ismerik, amikor a felhasználónév és jelszó beírása után SMS-ban kapnak egy kódot amit szintén be kell írniuk a sikeres azonosításhoz. Az utóbbi években ez a fajta azonosítás már nem is annyira biztonságos.
Hogyan működik az SMS azonosítás?
Egyre több weboldal vezeti be a kétfaktoros azonosítást, ami nagyszerű dolog. Az egyik módja, hogy egy SMS-ben kapott kódot beírva győződnek meg arról, hogy tényleg te vagy az aki be akar jelentkezni. A felhasználónevet és jelszót ellophatják, viszont az SMS-t a saját telefonodra kapod.
Mire van szükség a többlépcsős vagy többfaktoros azonosításhoz?
- valami amit csak te tudsz : ebben az esetben a felhasználónév és jelszó
- valami amit csak te birtokolsz : ebben az esetben a telefonod és a SIM kártya
- és valami ami csak te vagy : ez most nem játékos
Az alapfeltevés, hogy a telefonodban lévő SIM kártya egyedi, csak a tiéd és senki másnak a világon nem adnak ugyanolyan SIM kártyát. Pár évvel ezelőttig ez így is volt. Mára viszont a bűnözők kitaláltak egy módszert arra, hogy hogyan tudják elfogni a te telefonszámodra vagyis a SIM kártyádra küldött üzeneteket.
Kell-e tartanunk a SIM swapping fajta támadásoktól?
Ez egy viszonylag új fajta, nagyon kifinomult módja a kiber bűnözésnek, amivel a támadók hozzáférést szerezhetnek a bankszámlákhoz, bankkártya számokhoz és más személyes adatokhoz. Nehéz észrevenni ezt a támadást, és még nehezebb visszacsinálni a negatív következményeket.
A SIM swapping támadások évről-évre növekednek. Az amerikai méltányos kereskedelmi bizottság (U.S. Fair Trade Commission) már 2016-ban felhívta a figyelmet arra, hogy az ilyen fajta támadások 3 év alatt (2013-tól 2016-ig) a duplájára nőttek.
Hogyan működik a SIM swapping támadás?
A mobiltelefon SIM kártyája tartalmazza az előfizető felhasználói adatait. Ezekkel az adatokkal hitelesítik a mobil előfizetést. SIM kártya nélkül a mobiltelefon nem tud előfizetői kapcsolatot létesíteni a GSM hálózattal.
Adatgyűjtés
A SIM swapping az személyiségi adatlopás egy formája. Ezzel a támadók hozzáférést szereznek a célszemély mobil adatkommunikációjához. A támadók úgynevezett social engineering módszerekkel megtalálják az utat, hogy egy mobilszolgáltatótól kapjanak egy olyan SIM kártyát amit a célszemély nevére szól.
A folyamat azzal kezdődik, hogy a támadók a lehető legtöbb információt szedik össze az áldozatról. Ehhez az alábbi módszereket használhatják fel:
- adathalász emailt küldenek,
- publikus weboldalakról és
- közösségi médiából gyűjtenek adatokat,
- és a dark weben vásárolható adatbázisokat használnak (email cím, felhasználónév, jelszó, stb.)
Szolgáltató átverése és új SIM aktiválás
Amikor a támadó elegendő információt gyűjtött, létrehoz egy hamis személyazonosságot. Először felhívják az áldozat mobilszolgáltatóját és jelzik, hogy ellopták vagy elhagyta a SIM kártyáját. Ezután megkérik az ügyfélszolgálatost, hogy aktiváljanak neki egy új SIM kártyát ami már az ő birtokában van.
Az ügyfélszolgálat csak akkor tesz eleget az ilyen kérésnek ha az ügyfél válaszol néhány titkos kérdésre, vagy néhány személyes adat bemondásával azonosítja magát. A támadók már felkészülten várják a kérdéseket, amelyek általában a születési dátum és hely valamint az anyja neve. Ezeket az adatokat a legtöbb emberről könnyedén össze lehet gyűjteni, hiszen a közösségi médiában a legtöbben megosztják. A támadó a válaszaival könnyedén meggyőzi az ügyfélszolgálatost, akinél nem szólal meg a vészcsengő.
Károkozás
A felhasználónév, jelszó és most már a SIM kártya birtokában már könnyű kijátszani az SMS kódos azonosítást, akár egy banki portálon is.
Miért tudták végrehajtani a támadást?
Azért tudták végrehajtani ezt a támadást, mivel minden adatot amire szükség volt hozzá össze tudták szedni az internetről. Azért mert te megosztottad, nem ismerted fel és válaszoltál az adathalász emailre, nem voltál elég körültekintő. Vagy ha nem te osztottad meg, akkor a gyereked vagy valamelyik hozzátartozód.
A leggyengébb láncszem mindig az ember. Ha önszántadból közzéteszed a személyes adataidat, akkor azt el fogják lopni és fel fogják használni.
Hogyan előzheted meg a SIM swapping támadást?
A szolgáltatók, bankok és más intézmények elsősorban a személyes adatok felhasználásával azonosítják be az ügyfelet ha telefonon keresztül keresik meg őket. Néhány egyszerű alapszabály betartásával megakadályozható, hogy a támadók hozzájussanak a személyes adatokhoz.
- Soha ne osszuk meg a személyes adatainkat az interneten. Nagyon jól esik, amikor a Facebook-on soha nem látott ismerősök köszöntenek fel a születésnapunkon. Azért mert megosztottuk a születési dátumunkat. Ezt a bűnözők ugyanúgy látják. Ahogy azt is hogy hol születtünk és a kommunikációnkból ki tudják deríteni a családi kapcsolatokat is. Amit megosztasz az interneten az örökre ott is marad és megszerezhető valamilyen módon.
- Használj erős és jó jelszavakat. Az 123456 a legelterjedtebb jelszó, de egy jó jelszó aranyat ér. Főleg ha mindenhol különböző jelszavakat használsz amit egy jelszókezelő programban tárolhatsz.
- Ha lehetséges, akkor ne használjunk SMS azonosítást használó szolgáltatást. Helyette használjunk valamilyen hitelesítő alkalmazást (pl Google Authenticator) vagy valamilyen tokenes megoldást.
- Ne használd az SMS-t elsődleges kommunikációra. Az SMS üzenetek nincsenek titkosítva és ezért egyszerű a lehallgatása. Használj helyette valamilyen pont-pont titkosítást használó alkalmazást, mint például a WhatsApp, Signal, Viber, Telegram.
- Hívd fel néha a szolgáltatódat. Ha érzékeny adatokat és pénzt kezelsz, akkor hívd fel néha a mobilszolgáltatódat, hogy kiadtak-e új SIM kártyát a nevedre, vagy a cég nevére.
Ez a cikk a GOLNET Informatikai blogon jelent meg először 2019. május 7.-én.