korisni članci

Kako spriječiti i reagirati na prevaru na zamjenu SIM kartice

Kad je Matthew Miller na ZDNetu pogođen SIM swap napadom, opisao ga je kao "priču strave" zbog koje je izgubio desetljeće podataka. "I nije hiperbolički; više od tjedan dana kasnije, još uvijek se bavi utjecajima, a neki od glavnih tehnoloških igrača - uključujući Twitter i Google - ne jamče da će ikada uspjeti dobiti pristup onome što su mu napadači zbrkali.

Zamjena SIM-a velika je stvar, pogotovo ako ste također aktivno uključeni u zajednicu kriptovaluta - izvrstan način da napadač napravi malo novca u neredu. Srećom, nekoliko sitnih preinaka sigurnosnih praksi vašeg računa može vam smanjiti vjerojatnost da će vam ovaj iritantni problem ikad upropastiti dan (ili mjesec).

Što je zamjena SIM kartice?

Zamjena SIM uključuje hakera koji kopira vašeg davatelja mobilnih usluga u uvjerenje da aktivirate svoju SIM karticu na drugom uređaju. Drugim riječima, kradu vam telefonski broj i povezuju ga sa SIM karticom.

Ako uspije, ovaj napad deaktivirat će vaš uređaj, a njihov će uređaj sada biti odredište svih tekstova, telefonskih poziva, podataka i računa vezanih uz vaš telefonski broj i SIM karticu. Pomoću tih podataka napadač je mogao jednostavno pristupiti računima vaše aplikacije, osobnim podacima i financijskim podacima. Čak bi vas mogli zauvijek isključiti iz vaših usluga.

Razmislite o tome koliko aplikacija i računa upotrebljava vaš telefonski broj za potvrdu vašeg identiteta - pa čak i kada se prijavite sa svojim korisničkim imenom i lozinkom, što napadač neće znati, ali o vrlo mehanizmima za oporavak koji biste koristili za resetiranje ovog ključne informacije. Sva sigurnost računa na svijetu neće biti mnogo dobra ako se napadač može pretvarati da ste vi samo preuzimanjem vašeg telefonskog broja.

Kako izgleda prevara SIM swapa

Osoba ne treba fizički pristup vašem telefonu za obavljanje zamjene SIM kartice - sve to može učiniti na daljinu, bez obzira na vašu marku i model uređaja ili vašeg davatelja usluga. Samo trebaju imati dovoljno informacija da uvjere agenta za korisničku podršku da ste to vi. Možda nećete vidjeti razmjenu SIM razmjene na čelu dok ne bude prekasno.

Najlakši način da napomenete da ste ciljali zamenom SIM kartice je kada vidite neobično ponašanje sa svog telefona, poput nemogućnosti slanja ili primanja tekstova i poziva, iako niste isključili uslugu; primanje obavijesti od vašeg davatelja da je vaš telefonski broj ili SIM kartica negdje drugdje aktivirana; ili se ne možete prijaviti na neki od svojih važnih računa. Pogledajte ovaj nedavni primjer Matthewa Millera iz ZDNeta:

Sprječavanje napada razmjene SIM-a

Trenutno je puno lakše postaviti obranu protiv SIM swap napada nego što je riješiti pad od jednog - jedan je sitna smetnja, drugi će potrošiti vaš tjedan (ili više).

Pazite na prevare s krađu identiteta

Prvi korak u napadu SIM swap obično (ali ne uvijek) krađe identiteta. Skeptirane e-poruke s zlonamjernim vezama, lažnim zaslonima za prijavu, lažnim adresnim trakama - mogu se uzeti mnogi oblici lažnih prijevara, ali lako ih je uočiti ako znate na što treba paziti. Ne kliknite veze, preuzmite programe ili se prijavite na web stranice koje ne prepoznajete. Ako napadač dobije dovoljno ključnih podataka o vama iz tih napada, imat će ono što im treba za isprobati zamjenu SIM kartice.

Smanjite pretjerane osobne podatke na mreži

Bez obzira na krađu identiteta ili umjesto njega, drugi rani dio zamjene SIM kartice uključuje društveni inženjering - u osnovi prikuplja što više podataka o vama kako bi haker mogao pouzdano proslijediti za vas putem telefona ili e-pošte.

Da biste to spriječili, držite svoj telefonski broj, datum rođenja, adresu e-pošte i sve ostale kompromitirajuće podatke s što većeg broja vaših računa i nemojte javno dijeliti te podatke ako ih možete izbjeći. Neki su podaci potrebni za određene usluge, ali ne morate ih pretraživati ​​na društvenim mrežama. Trebali biste otkazati i izbrisati sve račune koje više ne koristite kao dodatnu oprezu.

Zaštitite svoje račune

Mnogi digitalni računi imaju postavke pomoću kojih možete vratiti račune ako su ikada ukradeni - ali moraju biti pravilno postavljeni, kako bi ih ukrali kako bi mogli biti od pomoći. Tu mogu biti:

  • Stvaranje PIN broja koji je potreban za prijavu i promjene lozinke. Ovo je posebno važno za postavljanje s mobilnim operatorom, jer je to odlična obrana od otmice SIM-a.
  • Prikladna dvofaktorska sigurnosna metoda koja se oslanja na fizički uređaj, poput Google Authenticator ili Authy, a ne na temelju SMS provjere za prijavu. Možete i potražiti hardverski žeton kako biste zaštitili svoje račune ako želite zaista postati fantastični.
  • Snažno vam odgovara na pitanja o oporavku sigurnosti koja nisu vezana za vaše osobne podatke.
  • Ako je moguće, prekida veze s telefonskog broja vašeg pametnog telefona i računa. (Uvijek možete koristiti besplatni broj Google Voicea ako trebate imati ga za osjetljive račune.)
  • Korištenje dugih, nasumičnih i jedinstvenih zaporki za svaki račun.
  • Koristite šifrirani upravitelj lozinki.
  • Ne koristite svoje omiljene usluge (Google, Facebook, itd.) Za prijavu na druge usluge; Sve što napadač treba je probiti u jednoga kako bi imao pristup puno većem broju svog digitalnog života.

Trebali biste zabilježiti i važne podatke u vezi s računom pomoću kojih biste mogli prepoznati sebe kao valjanog vlasnika računa, poput:

  • Mjesec i godina otvaranja računa
  • Prethodna zaslonska imena na računu
  • Fizičke adrese povezane s računom
  • Brojevi kreditnih kartica koji su korišteni s računa ili bankovnih izvoda koji mogu potvrditi da ste vi kupili
  • Sadržaj kreiran pomoću računa, poput imena znakova, ako je račun za internetsku videoigru

Slično tome, čuvanje popisa svih vaših kritičnih računa olakšat će reagiranje na zamjenu SIM kartice ili sličnu krađu ID-a jer ćete biti u mogućnosti sigurno češljati svaki račun i mijenjati lozinke, adrese e-pošte i tako dalje. Neka se svi ti podaci čuvaju na sigurnom - možda čak i kao fizički ispis tekstualne datoteke - umjesto da ih spremite na uslugu povezanu s digitalnim entitetom (koja bi se mogla razbiti).

Decentralizirajte svoj mrežni otisak

Razmislite o korištenju šifriranih aplikacija i usluga otvorenog koda umjesto samo Googleovih, Appleovih, Microsoftovih podataka za širenje važnih podataka s najosjetljivijim podacima pohranjenim na mjestima s najvišom sigurnošću. To se odnosi na e-poštu, aplikacije za razmjenu poruka, bankovne aplikacije itd. Google Drive i iCloud odlični su, ali ako se sve skupi u jedan pogon - uključujući osobne financijske podatke i tako dalje - zeznuli ste se.

Također, određene podatke trebali biste u potpunosti čuvati van oblaka. Porezne prijave nemojte bacati na svoj Google Pogon, jer kad bi netko stekao pristup, iznenada bi imao mnoštvo kritičnih informacija o vama (i puno informacija koje bi mogli upotrijebiti da se pretvaraju da ste to vi). I molimo vas, bez obzira na to, ne čuvajte popis uobičajenih zaporki, sigurnosnih kopija ključeva za prijavu, PDF račun za oporavak računa lozinke u jednostavnom računu za pohranu u oblaku.

Kako reagirati na SIM swap napad

Ako sumnjate da ste postali žrtva zamjene SIM-a ili bilo kojeg oblika krađe ID-a, brzo prođite kroz sve ove korake:

  • Podnesite izvještaje o krađi identiteta kod svog lokalnog policijskog ureda i FTC-a.
  • Obavijestite svoje banke / financijske institucije na potencijalno izvješće o identitetu i zadržavanje zahtjeva stavite na svoje račune i bankovne kartice, a zatim kontaktirajte sva tri kreditna biroa (Experian, Equifax i TransUnion) da zatražite zamrzavanje vaše kreditne i zastave potencijalne kreditne prijevare. Ako sumnjate da su vaši porezni identiteti ili brojevi socijalnog osiguranja ugroženi, obratite se IRS-u. Možda čak želite promijeniti svoj bankovni račun ili brojeve kreditnih kartica.
  • Prijavite krađu identiteta kod svog davatelja usluga. Imajte na umu, međutim, da ako ne možete dovoljno dokazati da se to dogodilo i da ste pravi vlasnik računa, oni možda neće moći puno učiniti (od hakera kao vašeg telefonskog broja i svih).
  • Ako imate izvanmrežni / analogni popis vaših računa i njihovih podataka, promijenite adresu e-pošte i lozinku svakog računa (pobrinite se da nova adresa e-pošte nije vezana za vaš telefonski broj; nova najbolje funkcionira) i ažurirajte bilo koju drugu sigurnost računa mjera. Najvažnija mjesta za početak su vaše adrese e-pošte i financijske institucije, uključujući PayPal, Venmo itd. I svi računi vezani za vaš telefonski broj ili Google / Apple račune.
  • Važno: Ako vam je data opcija, NEMOjte potvrdne kodove niti resetirati veze na vaš telefonski broj. Oni će biti poslani hakeru, a ne vama.
  • Ako se ne možete prijaviti na račun ili resetirati zaporku, obratite se korisničkoj službi tog računa što prije i objasnite situaciju. Od vas će se tražiti da dokažete svoj identitet, tako da će vam što više podataka o računu pomoći da preuzmete kontrolu.