Номер мобільного телефону, що схований у крихітному чіпі всередині SIM-картки, сьогодні став центром життя. На нього зав’язані банківські рахунки, акаунти соцмереж в інтернеті, ідентифікація в компаніях та багато іншого. Ви спокійні і впевнені в безпеці, адже ваша SIM-карта завжди поруч в телефоні. Однак одного дня SIM-ку можуть поцупити, не чіпаючи ваш смартфон.
Жителька Солт Лейк Сіті Рейчал Остлунд вже готувалася спати, як на її телефон надійшло SMS від оператора, в якому було сказано, що її SIM-карта отримала апдейт. Телефон після цього втратив зв’язок з мобільною мережею, і перезавантаження апарата не допомогло.
Тим часом Адам – чоловік Рейчел – увійшов у її акаунт email і помітив, що в скриньку почали надходити листи зі скиданням паролів до акаунтів його дружини. Через годину йому подзвонили і попрохали негайно дати слухавку Рейчел.
Подружжя ще не знало, що стало одним з останніх жертв викрадачів телефонних номерів. Зловмисники викрадали красиві імена в соцмережах, щоб потім перепродати їх. Рейчел мала акаунт Twitter з ніком Rainbow – райдуга.
На «чорному ринку» короткі унікальні номери можуть продаватися від $500 до $5000. Наприклад, акаунт Instagram з іменем @t продали за $40 000.
Викравши телефонний номер Рейчел, зловмисники перехопили доступ до її акаунтів Instagram, Amazon, Ebay, Paypal, Netflix та Hulu. Сучасні засоби захисту, з двофакторною аутентифікацією включно, не допомогли, адже зловмисники контролювали її телефонний номер.
Техніка викрадення телефонних номерів, відома як SIM-свопінг чи SIM-хайджекінг, є простою, але ефективною. Зловмисники зв’язуються з підтримкою мобільного оператора та прикидаються власником номера. Вони переконують працівника кол-центру в тому, що загубили свою SIM-карту, і прохають перевести його на іншу SIM, яка є в них на руках. Трохи емоцій, знання персональної інформації та домашньої адреси – і злочинці досягають бажаного. Вони щойно викрали чиюсь SIM-карту, навіть не торкнувшись смартфона, в якому вона стояла.
«Із чиїмось телефонним номером, – каже один з хакерів, який займається SIM-свопінгом, – можна за кілька хвилин отримати доступ до кожного акаунту, який має жертва. Вона нічого не зможе з цим зробити».
SIM-свопінг не є новим винаходом і допоміг хакерам втілити гучні витоки даних. У 2012 році хакер Ерік Тейлор, відомий під ніком CosmoTheGod, використав цю техніку для проникнення в акаунт директора інтернет-компанії CloudFlare. Остання допомагає сайтам захищатися від кібератак та пришвидшувати роботу. Таким самим чином інші зловмисники викрали акаунт Instagram Селени Гомез та отримали доступ до приватних фотографій Джастіна Бібера. Керівництво Instagram видалило акаунт співачки, який мав 125 млн фоловерів. Засновник компанії віртуальної реальності IRL VR Коді Браун позбувся таким чином $8000 після того, як зловмисники захопили його номер телефону та отримали доступ до e-mail та акаунту криптовалюти Coinbase.
Тейлор говорить, що прив’язка мобільного номеру до інтернет-акаунтів робить людей вразливими перед 13-16-річними дітьми, які легко можуть перехопити контроль. При цьому сьогодні майже кожен сервіс вимагає надати свій номер телефону при реєстрації.
«Більшість систем не розраховані на викрадення телефонних номерів. Це дуже, дуже погано, – каже директор компанії з кібербезпеки Celsus Advisory Group Роель Шоуввенберг. – Наш телефонний номер став майже безальтернативним засобом ідентифікації. Він ніколи не призначався для цього. Телефонний номер надає сьогодні ключ до більшості сервісів та акаунтів».
За матеріалами: Vice