Przestępcy mogą wykraść twój numer telefonu podszywając się pod Ciebie, a następnie przenieść Twój numer do innego telefonu. Następnie otrzymają kody bezpieczeństwa wysłane przez SMS na ich telefon, pomagając im uzyskać dostęp do konta bankowego i innych bezpiecznych usług.
"Przenikliwe oszustwa" to duży problem dla całej branży komórkowej. W tym przekręcie przestępca udaje, że jesteś tobą i przenosi twój obecny numer telefonu na innego przewoźnika komórkowego. Ten proces jest znany jako "portowanie" i ma na celu umożliwić zachowanie numeru telefonu po przełączeniu na nowego operatora komórkowego. Wszelkie wiadomości tekstowe i połączenia z numerem telefonu są wysyłane na telefon zamiast do Twojego.
To duży problem, ponieważ wiele kont internetowych, w tym rachunki bankowe, używa twojego numeru telefonu jako metody uwierzytelniania dwuskładnikowego. Nie pozwolą Ci się zalogować bez uprzedniego wysłania kodu do telefonu. Ale po tym, jak doszło do oszustwa portierskiego, przestępca otrzyma ten kod zabezpieczający na swoim telefonie. Mogą go użyć, aby uzyskać dostęp do swoich kont finansowych i innych wrażliwych usług.
Oczywiście ten rodzaj ataku jest najbardziej niebezpieczny, jeśli osoba atakująca ma już dostęp do innych kont - na przykład, jeśli ma już hasło do bankowości internetowej lub dostęp do konta e-mail. Pozwala jednak atakującemu ominąć wiadomości bezpieczeństwa oparte na SMS-ach, zaprojektowane w celu ochrony użytkownika w tej sytuacji.
Ten atak nazywany jest również porwaniem SIM, ponieważ przenosi Twój numer telefonu z bieżącej karty SIM na kartę SIM atakującego.
Oszustwo to ma wiele wspólnego z kradzieżą tożsamości. Ktoś z twoimi danymi osobowymi udaje Ciebie, prosi twojego operatora komórkowego o przeniesienie twojego numeru telefonu na nowy telefon. Operator komórkowy poprosi o podanie pewnych danych osobowych w celu identyfikacji, ale często podanie numeru ubezpieczenia społecznego jest wystarczająco dobre. W idealnym świecie twój numer ubezpieczenia społecznego byłby prywatny - ale, jak widzieliśmy, liczba numerów ubezpieczenia społecznego Amerykanów wyciekła w wyniku naruszeń wielu dużych firm.
Jeśli dana osoba może skutecznie zmylić operatora komórkowego, nastąpi przełączenie i wszystkie wiadomości SMS wysłane do ciebie oraz połączenia telefoniczne przeznaczone dla ciebie zostaną przekierowane na ich telefon. Twój numer telefonu jest powiązany z jego telefonem, a Twój obecny telefon nie będzie już połączony z telefonem, SMS-em ani usługą transmisji danych.
To naprawdę kolejna odmiana ataku socjotechnicznego. Ktoś dzwoni do firmy udającej kogoś innego i używa inżynierii społecznej, by uzyskać dostęp do czegoś, czego nie powinien mieć. Podobnie jak inne firmy, operatorzy komórkowi chcą, aby rzeczy były tak proste, jak to tylko możliwe dla legalnych klientów, więc ich bezpieczeństwo może nie być wystarczająco mocne, aby odeprzeć atakujących.
Zalecamy upewnienie się, że Twój bezpieczny operator komórkowy ma ustawiony bezpieczny PIN. Ten numer PIN będzie wymagany podczas przenoszenia numeru telefonu. Wielu operatorów komórkowych użyło właśnie ostatnich czterech cyfr numeru ubezpieczenia społecznego jako numeru PIN, co znacznie ułatwiło wyłudzanie połączeń.
Jeśli masz innego operatora komórkowego, sprawdź witrynę swojego operatora lub skontaktuj się z obsługą klienta, aby dowiedzieć się, jak chronić swoje konto.
Niestety, istnieje wiele sposobów obejścia wszystkich tych kodów bezpieczeństwa. Na przykład dla wielu operatorów atakujący, który może uzyskać dostęp do Twojego konta internetowego, może zmienić Twój PIN. Nie zdziwiłoby nas też, gdyby ktoś mógł mieć operatora komórkowego, powiedzmy "Zapomniałem PIN" i jakoś go zresetować, jeśli znał wystarczająco dużo danych osobowych. Przewoźnicy muszą mieć sposób, aby ludzie, którzy zapomnieli swoich PIN-ów, mogli je zresetować. Ale to wszystko, co możesz zrobić, aby chronić się przed portowaniem.
Sieci komórkowe pracują nad poprawą bezpieczeństwa. Cztery duże amerykańskie firmy komórkowe - AT & T, Sprint, T-Mobile i Verizon - współpracują nad czymś, co nazywa się "Zespołem ds. Uwierzytelniania na urządzeniach mobilnych", co sprawia, że przenoszenie fałszywych portali i innych rodzajów oszustw jest trudniejsze.
Przekierowanie numeru portu telefonu jest jednym z powodów, dla których powinieneś unikać dwuetapowych zabezpieczeń opartych na SMS-ach, jeśli to możliwe. Wszyscy lubimy myśleć, że nasze numery telefonów są całkowicie pod naszą kontrolą i są związane tylko z telefonem, który posiadamy. W rzeczywistości nie jest to prawdą - kiedy polegasz na swoim numerze telefonu, polegasz na obsłudze klienta sieci komórkowej, aby chronić swój numer telefonu i powstrzymać napastników przed kradzieżą.
Zamiast wysyłania kodów zabezpieczających za pośrednictwem wiadomości tekstowych, zalecamy stosowanie innych dwuskładnikowych metod zabezpieczeń, takich jak aplikacja Authy do generowania kodów. Te aplikacje generują kod na samym telefonie, więc przestępca musiałby mieć telefon i odblokować go, aby uzyskać kod zabezpieczający.
Niestety, wiele usług internetowych wymaga weryfikacji SMS-em za pomocą numeru telefonu i nie zapewnia innej opcji. Nawet jeśli usługi zapewniają inną opcję, mogą na wszelki wypadek wysłać kod na swój numer telefonu jako metodę zapasową. Nie zawsze możesz uniknąć kodów SMS.
Jak w życiu, niemożliwe jest całkowite zabezpieczenie się. Wszystko, co możesz zrobić, to utrudnić atakującym - zabezpieczyć urządzenia i hasła prywatne, zapewnić bezpieczny kod PIN powiązany z kontem telefonu komórkowego i uniknąć weryfikacji SMS-owej ważnych usług.
Image Credit: Foto.Touch / Shutterstock.com.
