Att ha tvåfaktorautentisering (2FA) på plats är ett bra sätt att hålla dina konton säkra, men om det är över text är det inte idiotsäkert. SIM-kapning, eller SIM-byte, har funnits ett tag, men eftersom våra ekonomiska identiteter finns alltmer online blir det mycket mer populärt att stjäla telefonnummer och använda dem för att få tillgång till konton. Det blir svårare att dra av sig när telefonbärare långsamt förbättrar sina säkerhetsprocedurer och när 2FA-appar som Google Authenticator och Authy blir vanligare, men från och med 2018 är det fortfarande ett växande problem.
Hur fungerar det?
1. Hitta ett mål
Att lägga grunden är en viktig del av SIM-byte. Först hittar angriparna personlig information om potentiella mål. Allt från bankinloggningar till ålder, plats – även personnummer – finns flytande på nätet. Om de behöver mer kan de använda en phishing-attack för att lura användare att avslöja något viktigt.
2. Tricks teknisk support
Nu när de har en strategi kommer hackaren att ringa upp din operatör (det är ganska lätt att ta reda på vilken operatör ett nummer är på), använda vad de vet om dig för att komma igenom säkerhetsfrågorna och be dem att porta numret till ett nytt SIM-kort. Med lite socialteknik kan de lura teknisk supportrepresentant att sätta en användares nummer på en telefon som kontrolleras av hackare.
3. Byt SIM
Om attacken lyckas kommer operatören att ge ditt nummer och SIM till angriparen, på vilken användare kan (eller kanske inte) få ett meddelande som informerar dem om att deras SIM har uppdaterats eller inaktiverats. De kommer då inte att kunna ringa eller skicka sms, då de flesta kommer att inse att något är fel.
4. Åtkomst till konton
När numret är under angriparens kontroll kan de använda det för att få tillgång till konton genom att använda dess 2FA-funktioner eller använda det för att återställa dina lösenord. Med ditt telefonnummer behöver de ofta bara känna till din e-postadress och eventuellt några personliga uppgifter för att komma in.
5. Övertagande
En gång in kommer angripare i allmänhet att ändra lösenord, e-postadresser och annan information som kan göra det möjligt för användare att återta kontrollen över sina konton. Om det hackade kontot är en bank, kryptovaluta eller annan finansiell institution tar de pengar. Detta kommer att fortsätta tills de har fått vad de vill eller tills användaren får sin åtkomst återkallad.
Vem / Vad hackas?
Nästan alla riskerar att få sitt SIM-kapat, men eftersom det inte är det enklaste angreppet att genomföra, kan bara så många människor riktas åt gången. Personer med lättillgänglig personlig information, högprofilerade sociala mediekonton eller värdefulla finansiella konton är verkligen sårbara, men det utesluter inte genomsnittliga människor med en anständig känsla av online-säkerhet från att stöta på det här problemet. Även något så till synes oskadligt som ett minnesvärt Instagram-handtag, som ”@Rainbow”, kan leda till ett hack, eftersom dessa kan sälja för förvånansvärt stora summor pengar.
Vad händer om det händer mig?
Om din telefon plötsligt tappar tjänsten på en plats där du normalt har den kan du överväga att kontakta din operatör. Om du misstänker ett SIM-byte bör du:
- Hitta en anslutning så snart som möjligt och kontakta din operatör. SIM-byte är en känd fråga, så om de hittar bevis på det kommer de förmodligen att veta vad de ska göra. Du kanske vill kolla in varannan timme för att se till att någon inte har kommit in igen.
- Övervaka din e-post och alla konton som du vet är knutna till ditt nummer.
- Om någon misstänkt aktivitet dyker upp, ta bort ditt telefonnummer från dina konton, eller, om möjligt, ändra det till ett VoIP-nummer eller någon annans nummer.
- Se till att kundtjänstrepresentanten låser ditt konto och får ett nytt SIM-kort, skyddat från obehöriga ändringar med en PIN-kod.
- Även om du inte är säker på vilka konton som har äventyrats är det säkrast att följa standardpraxis efter hack och ändra dina lösenord och all känslig information, som kontonummer, som kan ha varit inblandad.
- Var alert. Om det hände en gång kan informationen som flyter på nätet komma tillbaka för att hemsöka dig igen.
Hur skyddar jag mig?
Tyvärr har många transportföretag, företag och finansinstitut ännu inte genomfört idiotsäkra säkerhetsåtgärder för att förhindra detta. Även med extra säkerhetslager kring kundinformation kan angriparna ha medarbetare som arbetar på insidan för att leda kundinformation ut till kapare. Som sagt, det finns några saker du kan göra.
- Ställ in extra säkerhet med din operatör – åtminstone en PIN-kod, vilket kräver att alla som vill göra ändringar i ditt konto ska ange den.
- Text- eller röstbaserad 2FA är bättre än ingenting, men byt om möjligt din 2FA till en autentiseringsapp som Google Authenticator eller Authy. Dessa kan inte hackas med ditt SIM-kort, men de är tyvärr inte ett vanligt 2FA-alternativ än.
- Börja använda en VoIP-tjänst (Voice over Internet Protocol) som Google Voice. Eftersom dessa telefonnummer fungerar över internet istället för att använda ett SIM-kort är de immuna mot att bytas ut. Byt ut ditt SIM-baserade nummer med VoIP-numret när det är möjligt.
Sammanfattningsvis: hacking händer
Även med en PIN-kod, autentiseringsapp och VoIP-tjänst är du inte precis skottsäker – PIN-koder kan stulas, autentiseringsappar stöds inte allmänt och vissa tjänster låter dig inte använda VoIP. I den ständigt skiftande världen av cybersäkerhet är det bästa du i allmänhet kan göra att du är bra, hålla ett öga på misstänkt aktivitet och reagera snabbt om något händer. Ju starkare din säkerhet är, desto mindre sannolikt är det att du blir ett mål, och ju snabbare du reagerar, desto mindre är chansen att du hittar dig själv några dollar eller Instagram-konton lättare.