Du tror, du gør alle de rigtige tiltag. Du er smart med din sikkerhed. Du har to-faktor-godkendelse aktiveret på alle dine konti. Men hackere har en måde at omgå det: SIM-bytning.
Det er en ødelæggende angrebsmetode med frygtelige konsekvenser for dem, der bliver ofre for den. Heldigvis er der måder at beskytte dig selv på. Her er, hvordan det fungerer, og hvad du kan gøre.
Indholdsfortegnelse
Hvad er et SIM-swap-angreb?
Der er ikke noget iboende galt med “SIM-bytning.” Hvis du nogensinde mister din telefon, vil din udbyder foretage et SIM-bytte og flytte dit mobiltelefonnummer til et nyt SIM-kort. Det er en rutinemæssig kundeserviceopgave.
Problemet er, at hackere og organiserede kriminelle har fundet ud af, hvordan de kan narre telefonselskaber til at udføre SIM-bytte. De kan derefter få adgang til konti, der er beskyttet af SMS-baseret to-faktor-godkendelse (2FA).
Pludselig er dit telefonnummer knyttet til en andens telefon. Den kriminelle får så alle sms’er og telefonopkald, der er beregnet til dig.
To-faktor autentificering blev udtænkt som svar på problemet med lækkede adgangskoder. Mange websteder undlader at beskytte adgangskoder ordentligt. De bruger hashing og saltning for at forhindre adgangskoder i at blive læst i deres originale form af tredjeparter.
Endnu værre, mange mennesker genbruger adgangskoder på tværs af forskellige websteder. Når et websted bliver hacket, har en angriber nu alt, hvad han behøver for at angribe konti på andre platforme, hvilket skaber en sneboldeffekt.
Af sikkerhedsmæssige årsager kræver mange tjenester, at folk angiver et særligt engangskodeord (OTP), når de logger på en konto. Disse OTP’er genereres på farten og er kun gyldige én gang. De udløber også efter kort tid.
For nemheds skyld sender mange websteder disse OTP’er til din telefon i en tekstbesked, som har sine egne risici. Hvad sker der, hvis en angriber kan få dit telefonnummer, enten ved at stjæle din telefon eller foretage et SIM-bytte? Dette giver denne person næsten uhindret adgang til dit digitale liv, inklusive dine bank- og finanskonti.
Så hvordan fungerer et SIM-swap-angreb? Nå, det afhænger af, at angriberen narrer en telefonselskabsmedarbejder til at overføre dit telefonnummer til et SIM-kort, han eller hun kontrollerer. Dette kan ske enten over telefonen eller personligt i en telefonbutik.
For at opnå dette skal angriberen vide lidt om offeret. Heldigvis er sociale medier fyldt med de biografiske detaljer, der sandsynligvis vil narre et sikkerhedsspørgsmål. Din første skole, dit kæledyr eller din kærlighed og din mors pigenavn kan sandsynligvis alle findes på dine sociale konti. Selvfølgelig, hvis det mislykkes, er der altid phishing.
SIM-bytteangreb er involveret og tidskrævende, hvilket gør dem bedre egnede til målrettede indtrængen mod en bestemt person. Det er svært at trække dem af i skala. Der har dog været nogle eksempler på udbredte SIM-bytteangreb. En brasiliansk organiseret kriminel bande var kunne SIM-bytte 5.000 ofre over en forholdsvis kort periode.
En “port-out” fidus ligner og involverer kapring af dit telefonnummer ved at “portere” det til et nyt mobilselskab.
Hvem er mest udsat?
På grund af den indsats, der kræves, har SIM-bytteangreb en tendens til at have særligt spektakulære resultater. Motivet er næsten altid økonomisk.
For nylig har cryptocurrency-børser og tegnebøger været populære mål. Denne popularitet forstærkes af det faktum, at der, i modsætning til traditionelle finansielle tjenester, ikke er sådan noget som en tilbageførsel med Bitcoin. Når den først er sendt, er den væk.
Ydermere kan enhver oprette en cryptocurrency-pung uden at skulle registrere sig i en bank. Det er det tætteste, man kan komme anonymitet, hvad angår penge, hvilket gør det lettere at hvidvaske stjålne midler.
Et velkendt offer, der lærte dette på den hårde måde, er Bitcoin-investor, Michael Tarpin, der mistede 1.500 mønter i et SIM-bytteangreb. Dette skete få uger før Bitcoin nåede sin højeste værdi nogensinde. På det tidspunkt var Tarpins aktiver mere end 24 millioner dollars værd.
Da ZDNet journalist, Matthew Miller, blev offer for et SIM-swap-angreb, forsøgte hackeren at købe Bitcoin til en værdi af $25.000 ved hjælp af sin bank. Heldigvis var banken i stand til at tilbageføre debiteringen, inden pengene forlod hans konto. Angriberen var dog stadig i stand til at smide hele Millers online liv, inklusive hans Google- og Twitter-konti.
Nogle gange er formålet med et SIM-bytteangreb at genere offeret. Denne grusomme lektie blev lært af Twitter og Square-grundlægger, Jack Dorsey, den 30. august 2019. Hackere kapret hans konto og postede racistiske og antisemitiske tilnavne til sit feed, som følges af millioner af mennesker.
Hvordan ved du, at et angreb har fundet sted?
Det første tegn på en SIM-byttekonto er, at SIM-kortet mister al service. Du vil ikke være i stand til at modtage eller sende sms’er eller opkald eller få adgang til internettet via dit dataabonnement.
I nogle tilfælde kan din telefonudbyder sende dig en sms, der informerer dig om, at skiftet finder sted, øjeblikke før du flytter dit nummer over til det nye SIM-kort. Dette er, hvad der skete med Miller:
“Kl. 23.30 mandag den 10. juni rystede min ældste datter min skulder for at vække mig fra en dyb søvn. Hun sagde, at det så ud til, at min Twitter-konto var blevet hacket. Det viser sig, at tingene var meget værre end som så.
Efter at have rullet ud af sengen tog jeg min Apple iPhone XS op og så en tekstbesked, der lød “T-Mobile-advarsel: SIM-kortet til xxx-xxx-xxxx er blevet ændret. Hvis denne ændring ikke er godkendt, skal du ringe til 611.'”
Hvis du stadig har adgang til din e-mail-konto, begynder du muligvis også at se mærkelig aktivitet, herunder meddelelser om kontoændringer og onlineordrer, du ikke har afgivet.
Hvordan skal du reagere?
Når et SIM-bytteangreb sker, er det afgørende, at du tager øjeblikkelig, beslutsom handling for at forhindre, at tingene bliver værre.
Først skal du ringe til din bank og kreditkortselskaber og anmode om en indefrysning af dine konti. Dette vil forhindre angriberen i at bruge dine penge til svigagtige køb. Da du faktisk også har været udsat for identitetstyveri, er det også klogt at kontakte de forskellige kreditbureauer og anmode om en indefrysning af din kredit.
Prøv derefter at “komme foran” angriberne ved at flytte så mange konti som muligt til en ny, ubesmittet e-mail-konto. Fjern linket til dit gamle telefonnummer, og brug stærke (og helt nye) adgangskoder. Kontakt kundeservice for konti, du ikke kan nå i tide.
Endelig bør du kontakte politiet og indgive en anmeldelse. Jeg kan ikke sige dette nok – du er offer for en forbrydelse. Mange husejerforsikringer omfatter beskyttelse mod identitetstyveri. Indgivelse af en politianmeldelse kan give dig mulighed for at indgive et krav mod din police og få nogle penge tilbage.
Sådan beskytter du dig selv mod et angreb
Selvfølgelig er forebyggelse altid bedre end en kur. Den bedste måde at beskytte mod SIM-swapping-angreb på er simpelthen ikke at bruge SMS-baseret 2FA. Heldigvis er der nogle overbevisende alternativer.
Du kan bruge et app-baseret godkendelsesprogram, såsom Google Authenticator. For et andet sikkerhedsniveau kan du vælge at købe et fysisk autentificeringstoken, såsom YubiKey eller Google Titan Key.
Hvis du absolut skal bruge tekst- eller opkaldsbaseret 2FA, bør du overveje at investere i et dedikeret SIM-kort, du ikke bruger andre steder. En anden mulighed er at bruge et Google Voice-nummer, selvom det ikke er tilgængeligt i de fleste lande.
Desværre, selvom du bruger app-baseret 2FA eller en fysisk sikkerhedsnøgle, vil mange tjenester give dig mulighed for at omgå disse og genvinde adgang til din konto via en sms sendt til dit telefonnummer. Tjenester som Google Advanced Protection tilbyder mere skudsikker sikkerhed for personer, der risikerer at blive målrettet, “såsom journalister, aktivister, virksomhedsledere og politiske kampagneteams.”