Bezpieczeństwo SMS-ów i kart SIM: jak działają ataki typu SIM-Swap
W styczniu 2024 r. doszło do porwania oficjalnego konta SEC na X (Twitterze). Fałszywy post o zatwierdzeniu Bitcoin ETF poruszył rynki o miliardy dolarów. Wektor ataku? Wymiana karty SIM — atakujący przekonał operatora do przeniesienia numeru telefonu SEC na jego kartę SIM, a następnie użył go do zresetowania hasła do konta.
Twój numer telefonu to nie tylko sposób na skontaktowanie się z Tobą. To szkieletowy klucz do Twojej poczty e-mail, kont bankowych, portfeli kryptowalutowych i mediów społecznościowych. A ukraść jest szokująco łatwo.
Jak działają ataki typu SIM-Swap
Atak polegający na zamianie karty SIM to forma kradzieży tożsamości, w ramach której osoba atakująca przejmuje Twój numer telefonu. Oto proces:
Krok 1: Zbierz dane osobowe
Osoba atakująca zbiera Twoje dane osobowe — imię i nazwisko, adres, datę urodzenia, cztery ostatnie cyfry numeru SSN — z witryn naruszających dane, z mediów społecznościowych lub witryn brokerów danych. Informacje te często wystarczają do zaliczenia pytań dotyczących bezpieczeństwa przewoźnika.
Krok 2: Skontaktuj się z przewoźnikiem
Napastnik dzwoni do Twojego operatora komórkowego (lub odwiedza sklep) i podszywa się pod Ciebie. Twierdzą, że zgubili telefon lub potrzebują nowej karty SIM. Wykorzystując zebrane dane osobowe, przechodzą weryfikację tożsamości.
Krok 3: Przejmij numer
Operator przenosi Twój numer na kartę SIM atakującego. Natychmiast tracisz usługę. Osoba atakująca otrzymuje teraz wszystkie Twoje połączenia i wiadomości tekstowe — w tym Kody weryfikacyjne SMS.
Stąd osoba atakująca resetuje hasła do Twoich kont e-mail, kont bankowych i kryptowalut, korzystając z funkcji odzyskiwania haseł za pomocą wiadomości SMS. Cały proces trwa poniżej 30 minut.
Metody przechwytywania SMS-ów
Wymiana karty SIM to nie jedyny sposób na złamanie zabezpieczeń SMS-ów. Atakujący mają wiele narzędzi:
SS7 Eksploatacja protokołu
SS7 (Signaling System 7) to protokół łączący sieci telefoniczne na całym świecie. Został zaprojektowany w 1975 roku z zerowym zabezpieczeniem. Atakujący, którzy uzyskają dostęp do sieci SS7 (często za pośrednictwem skorumpowanych pracowników telekomunikacyjnych lub wykupując dostęp), mogą:
- Przechwytuj wiadomości SMS w czasie rzeczywistym
- Śledź lokalizacje telefonów na całym świecie
- Przekieruj połączenia na inne numery
W 2017 roku przestępcy wykorzystali ataki SS7 w celu drenażu niemieckich kont bankowych poprzez przechwytywanie kodów SMS 2FA. To nie jest teoria — to się dzieje na dużą skalę.
Złośliwe oprogramowanie w Twoim telefonie
Mobilne złośliwe oprogramowanie może czytać przychodzące wiadomości SMS bezpośrednio z Twojego telefonu. Niektóre warianty:
- Poproś o uprawnienia SMS podczas instalacji
- Nakładaj fałszywe ekrany na aplikacje bankowe
- Przekazuj wiadomości dyskretnie atakującemu
Fałszywe stacje bazowe (łapacze IMSI)
Urządzenia takie jak Stingray podszywają się pod wieże komórkowe, zmuszając pobliskie telefony do łączenia się. Po nawiązaniu połączenia atakujący może przechwytywać połączenia i wiadomości SMS. Urządzenia te kosztują zaledwie 1000 dolarów i można je zbudować przy użyciu oprogramowania typu open source.
Dlaczego SMS 2FA nie jest wystarczająco bezpieczny
Wiele usług nadal domyślnie korzysta z SMS-ów w celu uwierzytelniania dwuskładnikowego. Oto dlaczego jest to niebezpieczne:
- SMS nie jest szyfrowany — wiadomości przesyłane są w postaci zwykłego tekstu przez sieć operatora
- Wymiana kart SIM jest łatwa — przewoźnicy zostali pozwani za zaniedbania w atakach typu swap
- SS7 jest uszkodzony — i nie można go naprawić bez wymiany całej globalnej infrastruktury telefonicznej
- Kody odzyskiwania trafiają do SMS — nawet jeśli korzystasz z aplikacji uwierzytelniającej, odzyskiwanie konta często sprowadza się do SMS
NIST (Amerykański Narodowy Instytut Standardów i Technologii) od 2016 r. odradza uwierzytelnianie za pomocą wiadomości SMS. Jednak większość banków nadal oferuje wyłącznie wiadomości SMS.
Alternatywa? Aplikacje uwierzytelniające (Google Authenticator, Authy) lub sprzętowe klucze bezpieczeństwa (YubiKey). Przeczytaj nasz kompletny przewodnik 2FA, aby uzyskać instrukcje konfiguracji.
Etui do wymiany kart SIM w świecie rzeczywistym
SEC Twitter hack (2024)
Konto X amerykańskiej Komisji Papierów Wartościowych i Giełd zostało przejęte poprzez wymianę karty SIM. Opublikowano fałszywy post zatwierdzający Bitcoin ETF, powodując ogromną zmienność na rynku.
Kradzież kryptowalut o wartości 400 mln dolarów (2023)
Skoordynowany atak polegający na wymianie karty SIM był wymierzony w inwestorów kryptowalutowych, drenując portfele chronione przez SMS 2FA. FBI aresztowało pierścień, ale większości środków nie udało się odzyskać.
Twitter Jacka Dorseya (2019)
Konto dyrektora generalnego Twittera zostało przejęte w wyniku wymiany karty SIM. Jeśli dyrektor generalny firmy technologicznej nie jest bezpieczny, nikt nie jest.
Jak się chronić
1. Ustaw PIN na swoim koncie operatora
Zadzwoń do swojego operatora i ustaw kod PIN lub hasło, które należy podać w przypadku jakichkolwiek zmian na koncie. To jest najważniejszy krok:
- T-Mobile: PIN konta w ustawieniach
- AT&T: Dodatkowe hasło zabezpieczające
- Verizon: PIN konta
- Większość przewoźników: Zadzwoń do obsługi klienta, aby poprosić o zabezpieczający PIN
2. Przełącz na aplikacje uwierzytelniające
Wszędzie, gdzie to możliwe, zastąp SMS 2FA aplikacją uwierzytelniającą. Kody są generowane na Twoim urządzeniu i nigdy nie przesyłają się przez sieć.
Polecane aplikacje: Google Authenticator, Authy (z kopią zapasową w chmurze), Microsoft Authenticator. Aby zapewnić maksymalne bezpieczeństwo, użyj klucza sprzętowego YubiKey.
3. Włącz blokadę numeru/blokowanie portu
Większość operatorów oferuje funkcję uniemożliwiającą przeniesienie numeru bez osobistej weryfikacji za pomocą dokumentu tożsamości. Włącz to teraz.
4. Użyj osobnego numeru dla kont finansowych
Rozważ użycie numeru Google Voice lub dodatkowej przedpłaconej karty SIM wyłącznie do usług bankowych i finansowych. Nie udostępniaj tego numeru publicznie.
5. Usuń swój numer z profili publicznych
Twój numer telefonu w mediach społecznościowych ułatwia inżynierię społeczną. Usuń go z profili publicznych i zrezygnuj z witryn brokerów danych, takich jak Whitepages, Spokeo i BeenVerified.
6. Monitoruj oznaki wymiany karty SIM
Jeśli doświadczysz któregokolwiek z nich, podejmij natychmiastowe działania:
- Nagła utrata sygnału komórkowego
- Wiadomości „Brak karty SIM” lub „Brak usługi”
- Nieoczekiwane e-maile od operatora dotyczące zmian na koncie
- Nie można wykonywać połączeń ani wysyłać SMS-ów
Jeśli tak się stanie: Natychmiast zadzwoń do swojego operatora z innego telefonu. Następnie zmień hasło do swojej poczty e-mail i zabezpiecz swoje konta.
FAQ
Co to jest atak polegający na zamianie karty SIM?
Atak polegający na wymianie karty SIM ma miejsce wtedy, gdy przestępca przekonuje operatora komórkowego do przeniesienia numeru telefonu na kontrolowaną przez niego kartę SIM. Gdy już zdobędą Twój numer, będą otrzymywać Twoje połączenia, SMS-y i kody weryfikacyjne SMS.
Czy ktoś może zhakować mój telefon za pomocą SMS-a?
Tak. Osoby atakujące mogą wysyłać złośliwe linki za pośrednictwem wiadomości SMS (smishing), wykorzystywać luki w protokole SS7 do przechwytywania wiadomości lub wykorzystywać ataki polegające na wymianie karty SIM w celu całkowitego przekierowania wiadomości. Dlatego właśnie SMS nie jest zalecany do uwierzytelniania dwuskładnikowego.
Skąd mam wiedzieć, czy moja karta SIM została wymieniona?
Najbardziej oczywistym sygnałem jest nagła utrata zasięgu sieci komórkowej — brak sygnału, brak połączeń, brak SMS-ów. Możesz także otrzymać nieoczekiwane powiadomienia od swojego operatora o zmianach na koncie. Jeśli tak się stanie, natychmiast skontaktuj się ze swoim operatorem, korzystając z innego telefonu.
Powiązane narzędzia
- Generator haseł — silne hasła to najlepsza obrona, gdy SMS nie powiedzie się
- 2FA Guide — przełącz z SMS na bezpieczne uwierzytelnianie
- Poradnik odzyskiwania poczty e-mail — co zrobić w przypadku naruszenia bezpieczeństwa konta