Номер мобильного телефона, скрытый в крошечном чипе внутри SIM-карты, сегодня стал центром жизни. На него завязаны банковские счета, аккаунты соцсетей в интернете, идентификация в компаниях и многое другое. Вы спокойны и уверены в безопасности, ведь ваша SIM-карта всегда рядом в телефоне. Однако в один день SIM-ку могут украсть, не трогая ваш смартфон.
Жительница Солт Лейк Сити Рейчал Остлунд уже готовилась спать, как на ее телефон пришло SMS от оператора, в котором было сказано, что ее SIM-карта получила апдейт. Телефон после этого потерял связь с мобильной сетью, и перезагрузка аппарата не помогла.
Тем временем Адам – муж Рейчел – вошел в ее аккаунт email и заметил, что в ящик начали поступать письма со сбросом паролей к аккаунтам его жены. Через час ему позвонили и попросили немедленно дать трубку Рейчел.
Супруги еще не знали, что стали одними из последних жертв похитителей телефонных номеров. Злоумышленники похищали красивые имена в соцсетях, чтобы потом перепродать их. У Рейчел был аккаунт Twitter с ником Rainbow – радуга.
На «черном рынке» короткие уникальные номера могут продаваться от $500 до $5000. Например, аккаунт Instagram с именем @t продали за $40 000.
Похитив телефонный номер Рэйчел, злоумышленники перехватили доступ к ее аккаунтам Instagram, Amazon, Ebay, Paypal, Netflix и Hulu. Современные средства защиты, включая двухфакторную аутентификацию, не помогли, ведь злоумышленники контролировали ее телефонный номер.
Техника похищения телефонных номеров, известная как SIM-свопинг или SIM-хайджекинг, является простой, но эффективной. Злоумышленники связываются с поддержкой мобильного оператора и прикидываются владельцем номера. Они убеждают работника колл-центра в том, что потеряли свою SIM-карту, и просят перевести его на другую SIM, которая есть у них на руках. Немного эмоций, знание персональной информации и домашнего адреса – и преступники достигают желаемого. Они только что похитили чью-то SIM-карту, даже не коснувшись смартфона, в котором она стояла.
«С чьим-то телефонным номером, – говорит один из хакеров, который занимается SIM-свопингом, – можно за несколько минут получить доступ к каждому аккаунту, который есть у жертвы. Она ничего не сможет с этим сделать».
SIM-свопинг не является новым изобретением и помог хакерам воплотить громкие утечки данных. В 2012 году хакер Эрик Тейлор, известный под ником CosmoTheGod, использовал эту технику для проникновения в аккаунт директора интернет-компании CloudFlare. Последняя помогает сайтам защищаться от кибератак и ускорять работу. Таким же образом другие злоумышленники похитили аккаунт Instagram Селены Гомез и получили доступ к частным фотографиям Джастина Бибера. Руководство Instagram удалило аккаунт певицы, у которой было 125 млн фолловеров. Основатель компании виртуальной реальности IRL VR Коди Браун лишился таким образом $8000 после того, как злоумышленники захватили его номер телефона и получили доступ к e-mail и аккаунту криптовалюты Coinbase.
Тейлор говорит, что привязка мобильного номера к интернет-аккаунтам делает людей уязвимыми перед 13-16-летними детьми, которые легко могут перехватить контроль. При этом сегодня почти каждый сервис требует предоставить свой номер телефона при регистрации.
«Большинство систем не рассчитаны на похищение телефонных номеров. Это очень, очень плохо, – говорит директор компании по кибербезопасности Celsus Advisory Group Роель Шоуввенберг. – Наш телефонный номер стал почти безальтернативным средством идентификации. Он никогда не предназначался для этого. Телефонный номер предоставляет сегодня ключ к большинству сервисов и аккаунтов».
По материалам: Vice
