Usługi online często wymagają od użytkowników dodatkowego zabezpieczenia swojego konta za pomocą numeru telefonu komórkowego. Jest to popularna metoda uwierzytelniania dwuskładnikowego (2FA) polegająca na wykorzystaniu połączenia telefonicznego lub wiadomości SMS do weryfikacji tożsamości podczas logowania z nowego urządzenia lub resetowania hasła. Hakerzy mają jednak wiele sposobów na przejęcie numeru telefonu ofiary, a tym samym uzyskanie dostępu do jej kont.
Jedną z coraz częściej wykorzystywanych przez cyberprzestępców metod jest atak SIM swapping – zamiany karty SIM. Polega on na wykorzystaniu duplikatu karty SIM telefonu ofiary. Oszuści podszywając się pod właściciela konta, kontaktują się z operatorem komórkowym twierdząc, że zgubili swoje urządzenie lub kartę SIM. Następnie próbują przekonać przedstawiciela działu obsługi klienta do aktywowania nowej, fałszywej karty SIM, którą posiadają. Jeżeli im się to uda, mogą uzyskać dostęp do komunikacji telefonicznej ofiary.
Korzystając z tej metody hakerzy mogą przejąć kontrolę nawet nad pozornie dobrze chronionymi kontami niezależnie od stosowania najlepszych praktyk dotyczących haseł czy świadomości ofiary w zakresie cyberbezpieczeństwa. Jednym z dobrze znanych przykładów ataku SIM swapping było włamanie na konto Jacka Dorseya, prezesa Twittera na jego własnej platformie. Grupie hakerów znanej jako „Chuckling Squad” udało się przejąć kontrolę nad numerem telefonu Dorseya i wykorzystać to do przejęcia jego konta na Twitterze. Twitter zadziałał szybko i zdołał wykryć naruszenie oraz przywrócić kontrolę nad kontem w ciągu 18 minut. Jednak nawet kilkanaście minut wystarczy, aby wykraść wrażliwe dane, środki pieniężne lub zaszkodzić reputacji. Ten atak pokazuje, że każdy może paść ofiarą cyberprzestępców, jeśli nie będzie wystarczająco ostrożny.
Eksperci ds. bezpieczeństwa podpowiadają dwa sposoby ochrony przed atakami SIM swapping:
– Przypisywanie kodów PIN do kart SIM: większość operatorów telefonii komórkowej pozwala klientom przypisywać osobiste numery identyfikacyjne (PIN) do swoich kont, aby zapobiec atakom zamiany karty SIM. Każdy, kto próbuje przenieść numer telefonu komórkowego na nową kartę SIM, musi podać kod PIN. Utrudnia to z pewnością przeprowadzenie ataku SIM swapping, ale nie jest to idealne rozwiązanie. Cyberprzestępcy mają wiele sposobów uzyskania dostępu do kodów PIN ofiary. Ponadto sami użytkownicy często zapominają swoich kodów PIN, ponieważ nie używają ich często. W takim przypadku sami mogą doprowadzić do zablokowania własnego konta.
– Wirtualne numery telefonów: inną popularną metodą zapobiegania zamianie kart SIM jest rejestracja kont przy użyciu wirtualnego numeru telefonu, którego nie można przenieść na kartę SIM. Istnieje kilka usług, które zapewniają numery internetowe do odbierania kodów SMS. Jednak usługi te mają też swoje wady w zakresie bezpieczeństwa, nie są obsługiwane przez wszystkie usługi online i nie są łatwe w użyciu.
Powyższe metody są bardziej środkiem zapobiegawczym niż dobrym rozwiązaniem niebezpiecznego problemu SIM swapping. Organizacje, które chcą chronić swoje konta przed takimi atakami muszą szukać metod, które całkowicie eliminują konieczność podawania kodów w wiadomościach SMS, jednocześnie zapewniając bezpieczeństwo i łatwość użytkowania. Jest to powód, dla którego kilka niemieckich banków już zrezygnowało z jednorazowych kodów SMS lub planuje to zrobić w najbliższym czasie, również w celu dodatkowego zapewnienia zgodności z uchwalonymi regulacjami UE. Użytkownicy zazwyczaj wybierają wygodę zamiast bezpieczeństwa. Zapamiętywanie kodów PIN kart SIM lub obsługa wirtualnych numerów telefonów będzie prawdopodobnie zbyt dużym problemem dla większości użytkowników, dlatego potrzebne jest inne rozwiązanie.
Jak zabezpieczyć konta przed SIM swapping?
Najlepszym możliwym rozwiązaniem, które pozwala całkowicie uniknąć ataku SIM swapping jest wieloskładnikowe uwierzytelnianie bezhasłowe.
Brak konieczności podawania hasła to znacznie bezpieczniejsza i prostsza w użyciu metoda, a także łatwiejsza w zarządzaniu. Jest to szczególnie ważne dla organizacji, które muszą być lepiej chronione niż osoby prywatne i mogłyby ponieść poważne konsekwencje w przypadku przejęcia kont użytkowników.
W miarę jak organizacje na całym świecie przechodzą na bezhasłowe uwierzytelnianie, daje się zauważyć rosnące wykorzystanie powiadomień push jako alternatywy dla uwierzytelniania dwuskładnikowego 2FA opartego na wiadomościach sms. Gartner prognozuje, że w bieżącym roku 50% przedsiębiorstw korzystających dotychczas z uwierzytelniania mobilnego (np. hasło jednorazowe) będzie stosować uwierzytelnianie za pomocą powiadomień push.
Jedną z najbardziej zaawansowanych metod uwierzytelniania w trybie push opracowała firma Secret Double Octopus. Jej innowacyjne rozwiązanie, takie jak Octopus Authenticator, pozwala na bezpieczne logowanie bez konieczności wpisywania haseł użytkowników. Octopus Authenticator jest jedynym dostępnym na rynku rozwiązaniem, które wykorzystuje technologię dzielenia sekretu Secret Sharing w celu wyeliminowania wszystkich słabych punktów bezpieczeństwa uwierzytelniania. Uniemożliwia to cyberprzestępcom przeprowadzenie ataku nawet w przypadku kradzieży klucza, podsłuchu czy innych ataków MITM. Ponadto wprowadzenie znacznie zwiększonego poziomu bezpieczeństwa nie wpływa na komfort użytkowania.
W walce z cyberprzestępcami o dostęp do wrażliwych i cennych danych, działy bezpieczeństwa i IT nie powinny opierać się na przestarzałych technologiach uwierzytelniania. Obecnie dzięki nowym standardom bezpieczeństwa, takim jak FIDO2, łatwiej niż kiedykolwiek wcześniej można wdrożyć bezpieczne i łatwe w użyciu rozwiązania uwierzytelniające w całej organizacji. Korzystanie z uwierzytelniania wieloskładnikowego bez hasła zapewnia nie tylko ochronę przed większością technik stosowanych przez cyberprzestępców do przechwycenia konta użytkownika, jak np. SIM swapping, ale także uwalnia organizację od złożonego i trudnego wyzwania związanego z zarządzaniem hasłami i bezpieczeństwem danych uwierzytelniających.
Tekst źródłowy: Shimrit Tzur-David, SIM Swapping – The End Of 2nd Factor Authentication?, 24.02.2020, https://doubleoctopus.com/blog/sim-swapping-2nd-factor-authentication/