Pensi che si sta facendo tutte le mosse giuste. Sei intelligente per la tua sicurezza. Hai l’autenticazione a due fattori abilitato su tutti i tuoi account. Ma gli hacker hanno un modo per ignorare che: SIM swapping.
Si tratta di un devastante metodo di attacco, con conseguenze disastrose per tutti coloro che cadono vittime. Fortunatamente, ci sono modi per proteggersi. Ecco come funziona e cosa si può fare.
Che cosa È un SIM-Swap Attacco?
Non c’è niente di intrinsecamente sbagliato con “SIM di scambio.” Se perdi il telefono, il vettore effettuerà una SIM swap e spostare il vostro numero di cellulare di una nuova carta SIM. E ‘ una routine di servizio di cliente compito.
Il problema è che gli hacker e criminali organizzati hanno capito come ingannare le compagnie telefoniche in esecuzione di SIM swap. Essi possono quindi accedere agli account protetto da SMS di autenticazione a due fattori (2FA).
Improvvisamente, il vostro numero di telefono è associato con il telefono di qualcun altro. La penale viene poi tutti i messaggi di testo e telefonate destinate.
L’autenticazione a due fattori è stato concepito in risposta al problema di perdita di password. Molti siti non riuscire a proteggere le password. Usano l’hashing e la salatura per evitare che le password vengano letti nella loro forma originale da terze parti.
Peggio ancora, molte persone riutilizzare le password su diversi siti. Quando un sito viene violato, un utente malintenzionato ha ora tutto ciò di cui ha bisogno per attaccare i conti su altre piattaforme, creando un effetto valanga.
Per sicurezza, molti servizi richiedono che le persone forniscono una speciale one-time password (OTP) ogni volta che accedi a un account. Questi Otp sono generate in tempo reale e sono validi solo una volta. Essi, inoltre, scade dopo un breve periodo di tempo.
Per convenienza, molti siti di inviare questi Otp per il tuo telefono in un messaggio di testo, che ha i suoi rischi. Cosa succede se un utente malintenzionato può ottenere il vostro numero di telefono, sia per rubare il vostro telefono o l’esecuzione di una SIM swap? Questo dà quella persona quasi senza restrizioni di accesso per la vostra vita digitale, tra cui bancari e i conti finanziari.
Allora, come fa un SIM-swap attacco? Beh, è imperniata sull’attaccante ingannare un telefono di un dipendente di una società nel trasferire il tuo numero di telefono ad una SIM card che controlla. Questo può accadere sia per telefono o di persona presso un phone store.
Per fare questo, l’utente malintenzionato deve conoscere un po ‘ la vittima. Fortunatamente, i social media è riempito con dettagli biografici probabilmente per ingannare una domanda di sicurezza. La tua prima scuola, animale domestico, o amore, e il tuo nome da nubile della madre può probabilmente essere trovato sul vostro account social. Naturalmente, se l’esito è negativo, c’è sempre il phishing.
SIM-swapping attacchi sono coinvolti e che richiede tempo, che li rende meglio si adatta mirate incursioni contro un particolare individuo. È difficile tirare su larga scala. Tuttavia, ci sono stati alcuni esempi di diffusa SIM-scambio di attacchi. Una Brasiliana criminalità organizzata banda era in grado di SIM swap di 5.000 vittime nel corso di un periodo di tempo relativamente breve.
Un “porta-out” truffa è simile e prevede il dirottamento del tuo numero di telefono “porting” per un nuovo cellulare vettore.
CORRELATI: SMS a Due fattori di Autenticazione non È Perfetto, Ma Si Deve Ancora Usare
Chi È Più a Rischio?
Bobkov Evgeniy/ShutterstockGrazie per l’impegno richiesto, SIM-scambio di attacchi tendono ad avere particolarmente spettacolari risultati. Il motivo è quasi sempre di tipo finanziario.
Recentemente, cryptocurrency borse e portafogli sono stati popolari destinazioni. Questa popolarità è aggravato dal fatto che, a differenza dei tradizionali servizi finanziari, non c’è nessuna tale cosa come un chargeback con Bitcoin. Una volta inviato, non c’è più.
Inoltre, chiunque può creare un cryptocurrency portafoglio, senza necessità di registrarsi con una banca. È il più vicino si può arrivare all’anonimato in cui il denaro è interessato, che rende più facile per il riciclaggio di denaro rubato.
Un noto vittima che ha imparato questo nel modo più duro è Bitcoin investitore, Michael Tarpin, che ha perso di 1.500 monete in una SIM di scambio di attacco. Questo è accaduto giro di poche settimane prima di Bitcoin toccato i valori più alti. Al momento, Tarpin beni del valore di più di $24 milioni.
Quando il giornalista di ZDNet, Matthew Miller, cadde vittima di una SIM-swap attacco, l’hacker ha cercato di acquistare 25.000 dollari vale la pena di Bitcoin tramite la sua banca. Fortunatamente, la banca è stata in grado di invertire la carica prima che il denaro lasciato il suo account. Tuttavia, l’aggressore è stato ancora in grado di cestino Miller linea intera vita, compreso il suo Google e Twitter.
A volte, lo scopo di una SIM scambio di attacco è quello di mettere a disagio la vittima. La crudeltà di questa lezione è stata appresa da Twitter e Square fondatore, Jack Dorsey, il 30 agosto, 2019. Gli hacker dirottato il suo account e inviato razzista e antisemita epiteti per la sua alimentazione, che viene seguita da milioni di persone.
Come Fai a Sapere che un Attacco Ha avuto Luogo?
Il primo segno di una SIM-swapping conto è la carta SIM perde il servizio. Non sarà in grado di ricevere o inviare messaggi di testo o chiamate o accedere a internet attraverso il vostro piano dati.
In alcuni casi, il fornitore del telefono potrebbe inviare un testo che informa che lo scambio è in corso, momenti prima di passare il tuo numero in tutta la nuova carta SIM. Questo è quello che è successo a Miller:
“Alle 11:30 lunedì, 10 giugno, mia figlia mi strinse la spalla di svegliarmi da un sonno profondo. Ha detto che sembrava il mio account Twitter era stato violato. Si scopre che le cose sono molto peggio.
Dopo rotolare fuori dal letto, ho preso il mio iPhone di Apple XS e vide un messaggio di testo che leggi, ‘T-Mobile alert: La scheda SIM per xxx-xxx-xxxx è stato modificato. Se questa modifica non autorizzata, chiamata 611.’”
Se hai ancora l’accesso al tuo account di posta elettronica, si potrebbe anche iniziare a vedere la strana attività, comprese le notifiche di modifiche apportate all’account e ordini on-line non hai posto.
Come Si Dovrebbe Rispondere?
Quando un SIM-swapping attacco accade, è importante prendere immediati, l’azione decisiva per evitare cose peggiori.
Prima di chiamare la banca e le società di carte di credito e richiesta di congelare il tuo account. Questo consentirà di evitare all’utente malintenzionato di utilizzare i fondi per acquisti fraudolenti. Visto che hai modo, è stato vittima di un furto di identità, è anche saggio per contattare i vari uffici di credito e la richiesta di un blocco sulla vostra carta di credito.
Quindi, cercare di “andare avanti” degli attaccanti spostando come conti maggior numero possibile di una nuova onu contaminato da account di posta elettronica. Scollegare il tuo vecchio numero di telefono e l’utilizzo forti (completamente nuova) password. Per qualsiasi account che sei in grado di raggiungere in tempo, contattare il servizio clienti.
Infine, è necessario contattare la polizia e sporgere denuncia. Non posso dire che questo abbastanza—sei la vittima di un reato. Molte polizze di assicurazione del proprietario di abitazione includono la protezione di furto di identità. La presentazione di una denuncia alla polizia, potrebbe consentire di presentare un reclamo contro la vostra politica e recuperare un po ‘ di soldi.
Come proteggersi Da un Attacco
Cameron SummersonNaturalmente, la prevenzione è sempre meglio che curare. Il modo migliore per proteggere contro la SIM scambio di attacchi, è semplicemente di non utilizzare il servizio SMS-in base 2FA. Fortunatamente, ci sono interessanti alternative.
È possibile utilizzare un app di autenticazione basato su un programma, come Google Authenticator. Per un ulteriore livello di sicurezza, è possibile scegliere di acquistare un fisico autenticatore token, come la YubiKey o Google Titan Chiave.
Se è assolutamente necessario l’uso di testo o di chiamata a base di 2FA, si dovrebbe prendere in considerazione di investire in una apposita scheda SIM non utilizzare in qualsiasi altro luogo. Un’altra opzione è quella di utilizzare un numero Google Voice, anche se questo non è disponibile nella maggior parte dei paesi.
Purtroppo, anche se si utilizza l’applicazione basata su 2FA o un fisico chiave di sicurezza, tanti servizi che vi permetteranno di aggirare questi e riottenere l’accesso al tuo account tramite un messaggio di testo inviato al tuo numero di telefono. Servizi come Google Protezione Avanzata di offrire di più a prova di proiettile di sicurezza per le persone a rischio di essere presi di mira“, come i giornalisti, attivisti, dirigenti d’azienda, politici e squadre in campagna elettorale.”
CORRELATI: che Cos’è Google Avanzate di Protezione e di Chi Dovrebbe utilizzarlo?
CONTINUA A LEGGERE
- “Come Rimuovere le Caselle di controllo nel File Explorer su Windows 10
- “Come Leggere un Disco Floppy su un Moderno PC o Mac
- “Che cosa è HBO Max, e vale la Pena Di Pagare?
- “I 10 Migliori Netflix Originale Mostra È Possibile Lo Streaming Di Oggi (Maggio 2020)
- “Perché le App Scompaiono Da App Store e Play Store?