CEBRF

Atak SIM swap - metoda oszustwa, w której atakujący uzyskuje, a następnie posługuje się duplikatem karty SIM należącej do ofiary. W konsekwencji powyższych działań karta ofiary przestaje działać, a atakujący uzyskuje dostęp do komunikacji wykorzystującej numer telefonu atakowanej osoby[1][2].

Aktualnie wiele serwisów internetowych takich jak media społecznościowe, dostawcy poczty e-mail, czy bankowość elektroniczna pozwala na zabezpieczenie dostępu do swoich usług za pomocą dwustopniowego uwierzytelniania. W sytuacji, gdy jeden ze składników umożliwiających potwierdzanie tożsamości powiązany jest z numerem telefonu klienta, staje się on potencjalnie podatny na atak SIM swap. Jako przykład można podać sytuację, w której atakujący uzyskuje dostęp do danych logowania ofiary, a następnie posługuje się duplikatem karty SIM w celu przechwycenia np. kodów SMS przesyłanych na jej numer telefonu. W rezultacie otrzymuje on możliwość uwierzytelniania zlecanych przez siebie operacji (np. logowania do konta, czy przelewu środków finansowych).

Innym przykładem możliwego scenariusza ataku z wykorzystaniem metody SIM swap jest próba zresetowania hasła, np. do serwisu obsługującego pocztę e-mail ofiary. W sytuacji, gdy kod pozwalający na zdefiniowanie nowego hasła zostanie przesłany na numer kontrolowany przez atakującego, zyskuje on możliwość przypisania nowego hasła w atakowanym serwisie. W przypadku przejęcia konta pocztowego ofiary, potencjalnie możliwy staje się proces resetowania hasła także do innych serwisów[3].

Sama procedura wydawania duplikatów kart SIM jest standardową usługą oferowaną abonentom telefonii komórkowej np. w przypadku uszkodzenia lub utraty karty[4]. Przeprowadzenie ataku SIM swap może odbywać się na kilka sposobów. Jedną z metod jest sytuacja, w której atakujący w kontakcie z operatorem podszywa się pod właściciela numeru. Pozostałe sposoby mogą obejmować np. wykorzystanie przekupionych pracowników wewnątrz organizacji operatora (insider threats), jak również ataki na systemy odpowiedzialne za przydzielanie numerów[5].

 

 

[1]  https://security.szurek.pl/jak-dziala-kradziez-karty-sim-co-to-jest-sim-swap/#sim-swap

[2]  https://security.szurek.pl/jak-dziala-kradziez-karty-sim-co-to-jest-sim-swap/#duplikat-karty-sim

[3] https://security.szurek.pl/jak-dziala-kradziez-karty-sim-co-to-jest-sim-swap/#resetowanie-hasla

[4] https://www.enisa.europa.eu/news/enisa-news/beware-of-the-sim-swapping-fraud

[5] https://www.phishlabs.com/blog/sim-swap-attacks-two-factor-authentication-obsolete