Несмотря на рост инфраструктуры кибербезопасности, онлайн-идентификация по-прежнему сталкивается со многими рисками, в том числе связанными со взломом телефонных номеров пользователей.
В начале июля генеральный директор LayerZero Брайан Пеллегрино стал жертвой атаки с подменой SIM-карты, которая позволила хакерам ненадолго захватить его Twitter.
«И... мы снова в деле. По сути, это была моя жизнь за последние 24 часа. К счастью, мы сразу увидели взлом и началась битва», — написал в твиттере Брайан Пеллегрино (@PrimordialAA) 5 июля 2023 г.
«Я предполагаю, что кто-то вытащил мой бейдж из корзины, когда я покидал Collision, и каким-то образом смог заставить представителя оператора сотовой связи принять его в качестве удостоверения личности для замены SIM-карты», — написал Пеллегрино вскоре после того, как ему вернули его аккаунт в Твиттере.
«Это был бейдж «Брайан Пеллегрино — спикер», просто обычный бумажный значок конференции», — объяснил Пеллегрино.
Инцидент с Пеллегрино может привести к тому, что пользователи решат, что выполнить взлом SIM-карты так же просто, как захватить чей-то бейдж. Так ли это, объясняют представители компаний, занимающихся безопасностью криптовалют.
Что такое взлом SIM-карты?
Взлом SIM-карты (иначе — подмена SIM-карты, клонирование SIM-карты) — это такая форма кражи личных данных, при которой злоумышленники получают в свое распоряжение номер телефона жертвы, что позволяет им получить доступ к банковским счетам, кредитным картам и крипто-счетам.
В 2021 году Федеральное бюро расследований США получило более 1600 жалоб на подмену SIM-карт, повлекших за собой убытки на сумму более 68 миллионов долларов — на 400% бельше, чем за три предыдущих года. Это определенно указывает на то, что число мошенничеств с подменой SIM-карт растет, утверждает директор CertiK по операциям безопасности Хью Брукс.
«Если не будет отхода от двухфакторной аутентификации на основе SMS и поставщики телекоммуникационных услуг не повысят свои стандарты безопасности, мы, вероятно, увидим, что число атак продолжит расти», — заявил Брукс.
По словам директора по информационной безопасности SlowMist «23pds», подмена SIM-карт в настоящее время не слишком распространена, но в ближайшем будущем у нее есть значительный потенциал для дальнейшего роста. Он уверен:
«По мере того, как популярность Web3 растет и привлекает все больше людей в отрасль, вероятность атак с подменой SIM-карты также увеличивается из-за относительно более низких технических требований».
Исполнительный директор SlowMist упомянул о нескольких случаях, связанных со взломом SIM-карт в криптовалюте за последние несколько лет. В октябре 2021 года Coinbase официально сообщила, что хакеры украли криптовалюту как минимум у 6000 клиентов из-за нарушения двухфакторной аутентификации (2FA).
Ранее в 2019 году британскому хакеру Джозефу О’Коннору было предъявлено обвинение в краже около 800 000 долларов в криптовалюте с помощью взлома нескольких SIM-карт.
Кстати, в том же 2019 году Simjacker специалисты по безопасности компании AdaptiveMobile Security объявили об обнаружении новой уязвимости безопасности под названием Simjacker. Эта сложная атака нацелена на SIM-карты. Реализовать её можно, отправив код на целевое устройство с помощью SMS-сообщения. Если цель открывает сообщение, хакеры могут использовать код для наблюдения за ним, шпионить за звонками и сообщениями и даже отслеживать местоположение. Уязвимость реализуется с помощью программного обеспечения под названием S@T Browser, которое является частью набора инструментов SIM-приложений (STK), используемого многими телефонными операторами на своих SIM-картах. Браузер SIMalliance Toolbox Browser — по сути, это базовый веб-браузер, позволяющий поставщикам услуг взаимодействовать с веб-приложениями, такими как электронная почта. Исследователи полагают, что за последние два года эта атака была использована во многих странах, поскольку протокол S@T используется операторами мобильной связи по меньшей мере в 30 странах с общей численностью населения более миллиарда человек, в основном на Ближнем Востоке, в Азии, Северной Африке и Восточной Европе. Они также полагают, что в настоящее время жертвами этой атаки ежедневно становятся от 100 до 150 человек.
Осведомленность о том, насколько опасными могут быть атаки с подменой SIM-карты, повысило также событие 2019-го: в августе того года хакеры использовали вариант этой технологии, чтобы захватить личный аккаунт Джека Дорси в Твиттере.
Насколько сложно взломать SIM-карту?
По словам исполнительного директора CertiK, взлом SIM-карт часто можно осуществить с помощью информации, которая находится в открытом доступе или может быть получена с помощью социальной инженерии.
«В целом подмена SIM-карты может рассматриваться как более низкий барьер для входа для злоумышленников по сравнению с более технически сложными атаками, такими как эксплойты смарт-контрактов или взломы бирж», — сказал Брукс.
23pds из SlowMist согласен с тем, что замена SIM-карты не требует технических навыков высокого уровня. Он также отметил, что такие мошенничества с SIM-картами «распространены даже в мире Web2», поэтому «неудивительно», что они появляются и в среде Web3. Относительно простой метод использует обман и человеческий инжиниринг, а не технические уязвимости.
«Часто это проще реализовать, поскольку для обмана соответствующих операторов или персонала службы поддержки используется социальная инженерия», — сказал 23pds.
Как предотвратить взлом SIM-карты?
Поскольку атаки с подменой SIM-карт не требуют технических навыков хакеров, пользователи должны тщательно следить за безопасностью своей личности, чтобы предотвратить такие взломы.
Основной мерой защиты от взлома подмены SIM-карты является ограничение использования методов на основе SIM-карты для проверки 2FA. Представитель Hacken отметил, что вместо того, чтобы полагаться на такие методы, как SMS, лучше использовать такие приложения, как Google Authenticator или Authy.
23pds SlowMist также упомянул дополнительные стратегии, такие как многофакторная аутентификация и расширенная проверка учетной записи, дополнительные пароли. Он также настоятельно рекомендовал пользователям устанавливать надежные PIN-коды или пароли для SIM-карт или учетных записей мобильных телефонов.
Еще один способ избежать взлома SIM-карты — защитить личные данные, такие как имя, адрес, номер телефона и дата рождения. 23pds SlowMist также рекомендовали тщательно проверять онлайн-аккаунты на предмет любой аномальной активности.
Платформы также должны нести ответственность за продвижение безопасных методов 2FA, подчеркнул Брукс из CertiK. Например, фирмы могут потребовать дополнительной проверки, прежде чем разрешать внесение изменений в информацию об учетной записи, и информировать пользователей о рисках, связанных с подменой SIM-карты.