Сегодня мы поговорим о так называемом SIM Swapping или «подмене SIM-карты». Этот метод атаки далеко не нов, но в силу своей эффективности он продолжает оставаться актуальным. Атаки с подменой SIM-карты представляют серьезную угрозу для бизнеса, поскольку злоумышленники могут использовать их для доступа к корпоративным коммуникациям, принадлежащим компании учетным записям и важной информации — в том числе финансовой.
Что такое SIM Swapping (подмена SIM-карты)
Подмена SIM-карты (на английском SIM Swapping или SIM Swap) — это метод атаки, который злоумышленники используют для захвата мобильного номера телефона и переноса его на устройство, принадлежащее атакующему. Проще говоря, преступники тем или иным способом получают в офисе сотового оператора новую SIM-карту с номером жертвы, вставляют ее в собственный телефон и таким образом получают доступ к коммуникациям атакуемого.
Как правило, злоумышленников в первую очередь интересует доступ к текстовым сообщениям. А точнее, к одноразовым кодам подтверждения, которые приходят в SMS. Получив этот доступ, далее они могут входить в привязанные к данному номеру телефона аккаунты и/или подтверждать транзакции с помощью перехваченных кодов.
Что касается непосредственно процесса подмены SIM-карты, то тут могут использоваться различные варианты. В некоторых случаях злоумышленники пользуются услугами сообщника, работающего в салоне связи или офисе оператора. В других — обманывают сотрудника при помощи поддельных документов или методов социальной инженерии.
Фундаментальная проблема, которая делает атаку SIM Swapping возможной, состоит в том, что в современном мире SIM-карты и номера сотовых телефонов используются не совсем по своему назначению. Изначально эти номера не были предназначены для того, чтобы служить официальными идентификаторами, в которые они в итоге превратились.
Однако так уж сложилось, что очень часто для защиты аккаунтов используются одноразовые коды из SMS. Поэтому все другие защитные меры могут быть сведены на нет из-за того, что кто-то очень убедительно поговорил с сотрудником сотового оператора и добился выдачи новой SIM-карты на принадлежащий вам номер. Разумеется, эту опасность следует учитывать.
Зачастую для атакованной организации итогом атаки SIM Swapping становятся прямые финансовые потери. В последнее время предметом интереса преступников все чаще становятся криптовалютные активы, поскольку их можно достаточно легко, удобно и, что самое главное, быстро угонять. Но строго говоря, этот метод может применяться и в более сложных атаках.
Угон Twitter-аккаунта у Комиссии по ценным бумагам
Вот, к примеру, совсем свежий случай: 9 января 2024 года в Twitter-аккаунте Комиссии по ценным бумагам и биржам США (известной как SEC) появилось сообщение о том, что SEC наконец-то одобрила размещение биржевых фондов на Биткойн на биржах США.
Этого благоприятного для Биткойна события давно ожидали, так что новость совсем не выглядела неправдоподобной. Естественно, после публикации этого твита цена Биткойн взлетела примерно на 10% — до $48 000.
Однако позже твит был удален, и вместо него появилось сообщение о том, что аккаунт SEC был скомпрометирован. На следующий день вышло заявление X/Twitter о том, что компания не обнаружила взлома своих систем, а причина компрометации аккаунта SEC состоит в том, что некий индивидуум получил доступ к номеру телефона, к которому был привязан этот аккаунт. Очень вероятно, что после публикации фейкового твита этот индивидуум хорошо заработал на скачке цены Биткойна.
Ну а ближе к концу января появилось официальное подтверждение от самой Комиссии по ценным бумагам, что действительно Twitter-аккаунт организации был угнан с помощью SIM Swapping. Заодно выяснилось, что хотя ранее аккаунт SEC использовал двухфакторную аутентификацию, по просьбе сотрудников SEC она была отключена поддержкой X/Twitter в июле 2023 года для решения проблем с входом в аккаунт. После решения этих проблем включить 2FA обратно просто забыли — так что до самого январского инцидента учетная запись SEC оставалась без дополнительной защиты.
Ограбление криптобиржи FTX на $400 000 000
Также совсем недавно стало известно, что одно из самых крупных криптоограблений в истории было осуществлено с помощью Sim Swapping. Речь о произошедшем осенью 2022 года угоне у криптобиржи FTX активов на $400 000 000.
Изначально у многих были подозрения, что за этим ограблением стоял сам основатель FTX Сэм Бэнкман-Фрид. Однако последовавшее расследование показало, что вот тут-то он, похоже, ни при чем. Не так давно было предъявлено обвинение шайке киберпреступников во главе с неким Робертом Пауэллом, которая и провернула эту операцию.
Из текста обвинительного заключения мы узнали детали этого ограбления, которое, кстати говоря, не было для шайки ни первым, ни последним. Киберпреступники неоднократно проворачивали подмену SIM-карт — в списке пострадавших десятки людей. А всего в тексте обвинительного заключения содержится упоминание еще как минимум шести случаев успешной кражи крупных сумм денег, помимо FTX.
Вот как действовали преступники: сперва шайка подбирала подходящую жертву и добывала ее персональные данные. Далее один из сообщников изготавливал поддельные документы на имя жертвы, но с фотографией другого сообщника, непосредственно занимавшегося подменой SIM-карты.
Затем сообщник наносит визит в офис сотового оператора и получает там подменную SIM-карту. Далее SIM-карта используется для получения SMS с различными кодами аутентификации, необходимыми для входа в аккаунты и одобрения транзакций, в ходе которых активы переводятся на счета, принадлежащие шайке. Интересно, что уже на следующий день после ограбления FTX сообщники тем же способом ограбили еще и некое частное лицо, умыкнув у него скромные $590 000.
Как защититься от подмены SIM-карты (SIM Swapping)
Как видите, в тех случаях, когда речь идет о серьезных суммах денег, SIM-карта и, соответственно, двухфакторная аутентификация через одноразовые коды из SMS становятся слабым звеном. Как показывают приведенные выше примеры, атаки SIM Swapping могут быть крайне эффективны, поэтому совершенно очевидно, что злоумышленники продолжат их использовать.
Вот что следует сделать для защиты:
Везде, где это возможно, вместо номера телефона используйте для привязки аккаунтов альтернативные варианты — скажем, электронную почту.
Обязательно включайте оповещения о новом входе в принадлежащие вам аккаунты, внимательно следите за соответствующими уведомлениями и старайтесь максимально оперативно реагировать на подозрительные входы.
Избегайте использования двухфакторной аутентификации с помощью одноразовых кодов из SMS, опять-таки, насколько это возможно.
Для двухфакторной аутентификации предпочтительно использовать приложения-аутентификаторы и аппаратные ключи FIDO U2F — их обычно называют YubiKey по наиболее известному бренду.
Всегда используйте для защиты аккаунтов надежные пароли — то есть обязательно уникальные и очень длинные, а желательно еще и случайные. Для их генерации и хранения используйте менеджеры паролей.
И конечно же, не забывайте защищать те устройства, на которых хранятся пароли и установлены приложения-аутентификаторы.