Zabezpečenie SMS a SIM: Ako fungujú útoky s výmenou SIM karty
V januári 2024 bol ukradnutý oficiálny X (Twitter) účet SEC. Falošný príspevok o schválení Bitcoin ETF posunul trhy o miliardy dolárov. Vektor útoku? výmena SIM karty – útočník presvedčil operátora, aby preniesol telefónne číslo SEC na svoju SIM kartu, a potom ho použil na resetovanie hesla účtu.
Vaše telefónne číslo nie je len spôsob, ako vás kontaktovať. Je to základný kľúč k vášmu e-mailu, bankovým účtom, krypto peňaženkám a sociálnym médiám. A je šokujúco ľahké ukradnúť.
Ako fungujú útoky s výmenou SIM karty
Útok výmenou SIM karty je forma krádeže identity, pri ktorej útočník získa vaše telefónne číslo. Tu je postup:
Krok 1: Zhromaždite osobné informácie
Útočník zhromažďuje vaše osobné údaje – meno, adresu, dátum narodenia, posledné štyri číslice vášho SSN – z porušenia ochrany údajov, zo sociálnych médií alebo zo stránok sprostredkovateľov údajov. Tieto informácie často postačujú na to, aby ste dostali bezpečnostné otázky operátora.
Krok 2: Kontaktujte dopravcu
Útočník zavolá vášmu mobilnému operátorovi (alebo navštívi obchod) a vydáva sa za vás. Tvrdia, že stratili telefón alebo potrebujú novú SIM kartu. Pomocou zhromaždených osobných údajov prejdú overením identity.
Krok 3: Prevezmite číslo
Operátor prenesie vaše číslo na útočníkovu SIM kartu. Okamžite stratíte službu. Útočník teraz prijíma všetky vaše hovory a textové správy – vrátane SMS overovacích kódov.
Odtiaľto útočník resetuje heslá pre vaše e-mailové, bankové a kryptografické účty pomocou obnovenia hesla pomocou SMS. Celý proces trvá menej ako 30 minút.
Spôsoby zachytávania SMS
Výmena SIM karty nie je jediným spôsobom, ako kompromitovať SMS. Útočníci majú viacero nástrojov:
SS7 Protocol Exploitation
SS7 (Signaling System 7) je protokol, ktorý celosvetovo spája telefónne siete. Bol navrhnutý v roku 1975 s nulovým zabezpečením. Útočníci, ktorí získajú prístup k sieti SS7 (často prostredníctvom skorumpovaných zamestnancov telekomunikácií alebo zakúpením prístupu), môžu:
- Zachytávanie SMS správ v reálnom čase
- Globálne sledovanie polohy telefónu
- Presmerovanie hovorov na iné čísla
V roku 2017 zločinci použili útoky SS7 na vyčerpanie nemeckých bankových účtov zachytením SMS 2FA kódov. Toto nie je teoretické – deje sa to vo veľkom meradle.
Malvér vo vašom telefóne
Mobilný malvér dokáže čítať prichádzajúce SMS správy priamo z vášho telefónu. Niektoré varianty:
- Požiadať o povolenia SMS počas inštalácie
- Prekrývanie falošných obrazoviek v bankových aplikáciách
- Potichu preposielajte správy útočníkovi
Falošné základňové stanice (IMSI Catchers)
Zariadenia ako Stingrays sa vydávajú za mobilné veže a nútia telefóny v okolí, aby sa pripojili. Po pripojení môže útočník zachytiť hovory a SMS správy. Tieto zariadenia stoja len 1 000 USD a možno ich zostaviť pomocou softvéru s otvoreným zdrojovým kódom.
Prečo SMS 2FA nie je dostatočne zabezpečená
Mnoho služieb stále predvolene používa SMS pre dvojfaktorovú autentifikáciu. Tu je dôvod, prečo je to nebezpečné:
- SMS nie je šifrovaná – správy sa šíria ako obyčajný text cez sieť operátora
- Výmena SIM karty je jednoduchá – operátori boli žalovaní za nedbalosť pri výmenných útokoch
- SS7 je pokazený – a nedá sa opraviť bez výmeny celej globálnej telefónnej infraštruktúry
- Kódy na obnovenie idú na SMS — aj keď použijete autentifikačnú aplikáciu, obnovenie účtu často spadá do SMS
NIST (Národný inštitút pre štandardy a technológie v USA) neodporúča overovanie založené na SMS od roku 2016. Väčšina bánk však stále ponúka iba SMS.
Alternatíva? Aplikácie Authenticator (Google Authenticator, Authy) alebo hardvérové bezpečnostné kľúče (YubiKey). Pokyny na nastavenie nájdete v našej kompletnej príručke 2FA.
Púzdra na výmenu SIM karty Real-World
SEC Twitter Hack (2024)
Účet X Americkej komisie pre cenné papiere a burzu bol unesený prostredníctvom výmeny SIM karty. Bol zverejnený falošný príspevok na schválenie Bitcoin ETF, ktorý spôsobil obrovskú volatilitu trhu.
400 miliónov USD Krádež kryptomien (2023)
Koordinovaný útok na výmenu SIM kariet zameraný na kryptoinvestorov, ktorý vyčerpáva peňaženky chránené SMS 2FA. FBI zatkla prsteň, ale väčšina finančných prostriedkov sa nezískala.
Twitter Jacka Dorseyho (2019)
Vlastnému CEO Twitteru bol ukradnutý jeho účet prostredníctvom výmeny SIM karty. Ak generálny riaditeľ technologickej spoločnosti nie je v bezpečí, nikto nie je v bezpečí.
Ako sa chrániť
1. Nastavte si PIN na svojom účte operátora
Zavolajte svojmu operátorovi a nastavte si kód PIN alebo prístupový kód, ktorý musíte zadať pri akejkoľvek zmene účtu. Toto je najdôležitejší krok:
- T-Mobile: PIN účtu v nastaveniach
- AT&T: Extra bezpečnostný prístupový kód
- Verizon: PIN účtu
- Väčšina operátorov: Zavolajte na zákaznícky servis a požiadajte o bezpečnostný PIN
2. Prepnúť na aplikácie Authenticator
Nahraďte SMS 2FA autentifikačnou aplikáciou všade, kde je to možné. Kódy sa generujú na vašom zariadení a nikdy necestujú po sieti.
Odporúčané aplikácie: Google Authenticator, Authy (má zálohovanie v cloude), Microsoft Authenticator_8._PG Pre maximálnu bezpečnosť použite YubiKey hardvérový kľúč.
3. Povoliť zámok čísla / zmrazenie portu
Väčšina operátorov ponúka funkciu, ktorá zabraňuje preneseniu vášho čísla bez osobného overenia pomocou vládneho preukazu totožnosti. Povoľte to teraz.
4. Použite samostatné číslo pre finančné účty
Zvážte používanie čísla Google Voice alebo sekundárnej predplatenej SIM karty výlučne na bankové a finančné služby. Nezdieľajte toto číslo verejne.
5. Odstráňte svoje číslo z verejných profilov
Vaše telefónne číslo na sociálnych médiách uľahčuje sociálne inžinierstvo. Odstráňte ho z verejných profilov a odhláste sa zo stránok sprostredkovateľov údajov, ako sú Whitepages, Spokeo a BeenVerified.
6. Monitorovanie známok výmeny SIM
Ak sa u vás vyskytne niektorý z týchto stavov, okamžite konajte:
- Náhla strata bunkového signálu
- Správy „SIM nie je poskytnutá“ alebo „Žiadna služba“
- Neočakávané e-maily operátora o zmenách účtu
- Nedá sa volať alebo odosielať textové správy
Ak sa to stane: Okamžite zavolajte operátorovi z iného telefónu. Potom zmeňte heslá pre svoj e-mail a zabezpečte svoje účty.
FAQ
Čo je útok na výmenu SIM karty?
Útok výmenou SIM karty je, keď zločinec presvedčí vášho mobilného operátora, aby preniesol vaše telefónne číslo na SIM kartu, ktorú ovláda. Keď budú mať vaše číslo, dostanú vaše hovory, textové správy a overovacie kódy SMS.
Môže niekto hacknúť môj telefón prostredníctvom SMS?
Áno. Útočníci môžu posielať škodlivé odkazy prostredníctvom SMS (smishing), využívať zraniteľné miesta protokolu SS7 na zachytávanie správ alebo používať útoky s výmenou SIM kariet na úplné presmerovanie vašich správ. To je dôvod, prečo sa SMS neodporúča pre dvojfaktorovú autentifikáciu.
Ako zistím, či bola moja SIM karta vymenená?
Najzrejmejším znakom je náhla strata mobilných služieb – žiadny signál, žiadne hovory, žiadne texty. Môžete tiež dostať neočakávané upozornenia od svojho operátora o zmenách účtu. Ak k tomu dôjde, okamžite kontaktujte svojho operátora z iného telefónu.
Súvisiace nástroje
- Generátor hesiel — silné heslá zostávajú vašou najlepšou obranou, keď SMS zlyhá
- 2FA Guide — prepnúť z SMS na zabezpečenú autentifikáciu
- Sprievodca obnovením e-mailu – čo robiť, keď sú účty napadnuté