כיצד למנוע ולהגיב להונאה בהחלפת סים

כאשר של ZDNetמתיו מילרנפגע במתקפת החלפת סים, הוא תיאר זאת כ"סיפור אימה" שגרם לו לאבד "עשורים של נתונים". והוא לא היפרבולי; יותר משבוע לאחר מכן, הוא עדיין מתמודד עם תופעות הלוואי, ואין ערובה מכמה משחקני הטכנולוגיה הגדולים - כולל טוויטר וגוגל - שהוא אי פעם יוכל להחזיר גישה למה שהתוקפים שלו פישלו.

החלפת סים היא עניין גדול, במיוחד אם אתה גם מעורב באופן פעיל בקהילת מטבעות קריפטוגרפיים- דרך מצוינת לתוקף להרוויח מעט מזומניםולבלבל את החיים שלך. למרבה המזל, כמה שינויים קטנים בשיטות האבטחה של החשבון שלך יכולים לעזור להפחית את הסבירות שהבעיה המעצבנת הזו אי פעם תהרוס לך את היום (או החודש).

מה זה החלפת סים?

החלפת סים כרוכה בהאקר המטעה את ספק הסלולר שלך להאמין שאתה מפעיל את כרטיס ה-SIM שלך במכשיר אחר. במילים אחרות, הם גונבים את מספר הטלפון שלך ומשייכים אותו אליושֶׁלָהֶםכרטיס SIM.

אם תצליח, ההתקפה הזו תשבית את המכשיר שלך, והמכשיר שלהם יהיה כעת היעד לכל ההודעות הטקסט, שיחות הטלפון, הנתונים והחשבונות הקשורים למספר הטלפון ולכרטיס ה-SIM שלך. עם המידע הזה, התוקף יכול לקבל בקלות גישה לחשבונות האפליקציה שלך, לנתונים האישיים ולמידע הפיננסי שלך. הם יכולים אפילו לנעול אותך מהשירותים שלך לתמיד.

תחשוב על כמה אפליקציות וחשבונות משתמשים במספר הטלפון שלך כדי לאמת את זהותך - ואפילו לא כשאתה הולך להתחבר עם שם המשתמש והסיסמה שלך, שתוקף לא יידע, אלא את מנגנוני השחזור שבהם היית משתמש כדי לאפס את זה מידע מפתח. כל אבטחת החשבון בעולם לא תועיל הרבה אם תוקף יכול להעמיד פנים שהוא אתה רק על ידי השתלטות על מספר הטלפון שלך.

איך נראית תרמית החלפת סים

אדם לא צריך גישה פיזית לטלפון שלך כדי לבצע החלפת SIM - הוא יכול לעשות הכל מרחוק, ללא קשר ליצרן ודגם המכשיר שלך, או לספק השירות שלך. הם רק צריכים לקבל מספיק מידע כדי לשכנע סוכן תמיכת לקוחות שהוא אתה. ייתכן שלא תראה תרמית החלפת SIM בדרך אליך עד שיהיה מאוחר מדי.

הדרך הקלה ביותר לדעת שהחלפת ה-SIM מכוונת אותך היא כאשר אתה רואה התנהגות מוזרה מהטלפון שלך, כמו חוסר יכולת לשלוח או לקבל הודעות טקסט ושיחות למרות שהשירות לא הושבת; קבלת הודעות מהספק שלך על כך שמספר הטלפון או כרטיס ה-SIM שלך הופעלו במקום אחר; או חוסר יכולת להתחבר לאף אחד מהחשבונות החשובים שלך. לִשְׁקוֹלהדוגמה האחרונה הזומאת מתיו מילר של ZDNet:

"בשעה 23:30 ביום שני, 10 ביוני, בתי הבכורה הנידה את כתפי כדי להעיר אותי משינה עמוקה. היא אמרה שנראה שחשבון הטוויטר שלי נפרץ. מסתבר שהדברים היו הרבה יותר גרועים מזה.

לאחר שהתגלגלתי מהמיטה, הרמתי את ה-Apple iPhone XS שלי וראיתי הודעת טקסט שבה נכתב: "התראה של T-Mobile: כרטיס ה-SIM עבור xxx-xxx-xxxx הוחלף. אם השינוי הזה אינו מורשה, התקשר למספר 611." ובכן, מכיוון ש-T-Mobile לקחה ממני את השירות הסלולרי, לא יכולתי להתקשר ל-611 לעזרה אז זו הודעה חסרת ערך."

מניעת התקפת החלפת סים

זה הרבה יותר קל להקים הגנות נגד מתקפת החלפת סים עכשיו מאשר להתמודד עם הנשורת של אחד מהם - אחד הוא מטרד קל, השני יאכל את השבוע שלך (או יותר).

היזהרו מהונאות דיוג

השלב הראשון במתקפת החלפת SIM הוא בדרך כלל (אך לא תמיד) דיוג. הודעות דוא"ל משורטטות עם קישורים זדוניים, מסכי התחברות מזויפים, סרגלי כתובות מזויפים - יש צורות רבות של הונאות דיוג, אבל קל לזהות אותן אם אתהלדעת ממה להיזהר. אין ללחוץ על קישורים, להוריד תוכניות או להיכנס לאתרים שאינכם מזהים. אם תוקף מקבל מספיק נתונים חשובים עליך מהתקפות אלה, יהיה לו מה שהוא צריך כדי לנסות להחליף SIM.

צמצם נתונים אישיים מוגזמים באינטרנט

בין אם בנוסף להתחזות או במקומו, החלק המוקדם האחר של החלפת SIM כוללהנדסה חברתית- בעצם אוספת כמה שיותר נתונים עליך כדי שההאקר יוכל להעביר לך בצורה מהימנה בטלפון או בדוא"ל.

כדי למנוע זאת, שמור את מספר הטלפון, תאריך הלידה, כתובת הדואר וכל שאר המידע המסכן שלך מחוץ לכמה שיותר מהחשבונות שלך, ואל תשתף מידע זה בפומבי אם תוכל להימנע מכך. חלק מהנתונים הללו נחוצים עבור שירותים מסוימים, אך אינך צריך שיהיה ניתן לחיפוש באף אחד מהם במדיה החברתית. עליך לבטל ולמחוק כלחשבונות שאתה כבר לא משתמש בהםכאמצעי זהירות נוסף.

הגן על החשבונות שלך

לחשבונות דיגיטליים רבים יש הגדרות שיכולות לעזור לך להחזיר את החשבונות שלך אם הם ייגנבו אי פעם - אך יש להגדיר אותם כראוילִפנֵיהחשבון נגנב כדי לעזור. אלה יכולים לכלול:

• יצירת מספר PIN הדרוש לכניסות ושינויי סיסמה. זה חשוב במיוחד להגדירעם הספק הסלולרי שלך, שכן זוהי הגנה מצוינת מפני חטיפת SIM.

• שיטת אבטחה דו-גורמית מתאימהשמסתמך על מכשיר פיזי, כמו Google Authenticator או Authy, במקום אימות מבוסס SMS לכניסות. אתה יכול גם לקפוץ עבוראסימון חומרהכדי להגן על החשבונות שלך אם אתה רוצה להיות ממש מפואר.

• חזק עונה על שאלות שחזור אבטחהשאינם קשורים למידע האישי שלך.

• ביטול הקישור של מספר הטלפון של הטלפון החכם שלך מהחשבונות שלך, במידת האפשר. (תמיד תוכל להשתמש ב-freeGoogle Voiceמספר אם אתה נדרש שיהיה לך אחד עבור החשבונות הרגישים שלך.)

• שימוש ארוך, אקראי וייחודיסיסמאותעבור כל חשבון.

• השתמש ב-מנהל סיסמאות מוצפן.

• אל תשתמש בשירותים המועדפים עליך (גוגל, פייסבוק וכו') כדי להיכנס לשירותים אחרים; כל מה שתוקף צריך הוא לפרוץ לאחד כדי לקבל גישה להרבה יותר מהחיים הדיגיטליים שלך.

כמו כן, עליך לשים לב למידע חשוב הקשור לחשבון שיכול לשמש כדי לזהות אותך כבעל החשבון החוקי, כגון:

• החודש והשנה שיצרתם את החשבון

• שמות מסך קודמים בחשבון

• כתובות פיזיות המשויכות לחשבון

• מספרי כרטיסי אשראי ששימשו עם החשבונות או דפי הבנק שיכולים לאשר שאתה זה שביצע את הרכישות

• תוכן שנוצר על ידי החשבונות, כגון שמות דמויות, אם החשבון מיועד למשחק וידאו מקוון

באופן דומה, שמירת רשימה של כל החשבונות הקריטיים שלך תקל על התגובה להחלפת SIM או גניבת מזהה דומה, מכיוון שתוכל לסרוק בצורה מאובטחת בכל חשבון ולשנות סיסמאות, כתובות דוא"ל וכו'. שמור את כל המידע הזה בצורה מאובטחת - אולי אפילו כתדפיס פיזי של קובץ טקסט - במקום לשמור אותו בשירות המשויך לישות דיגיטלית (שיכולה להתפרץ).

ביזור טביעת הרגל המקוונת שלך

שקול להשתמש באפליקציות ובשירותים מוצפנים בקוד פתוח במקום רק באפליקציות מגוגל, אפל, מיקרוסופט, כדי לשמור על פזור של נתונים חשובים, כשהנתונים הרגישים ביותר מאוחסנים במקומות עם האבטחה הגבוהה ביותר. זה חל על אימייל, אפליקציות הודעות, אפליקציות בנק וכו'. Google Drive ו-iCloud הם נהדרים,אבל אם הכל יתגלגל לתוך כונן בודד- כולל מידע פיננסי אישי וכו' - אתה דפוק.

כמו כן, עליך לשמור נתונים מסוימים מחוץ לענן לחלוטין. אל תזרוק את החזרי המס שלך ל-Google Drive שלך, כי אם מישהו היה מקבל גישה, פתאום יש לו המון מידע קריטי עליך (והרבה מידע שהם יכולים להשתמש בו כדי להעמיד פנים שהוא אתה). ובבקשה, לא משנה מה, אל תשמור רשימה של הסיסמאות הנפוצות שלך, מפתחות כניסה לגיבוי, ה-PDF של "שחזור חשבון" של מנהל הסיסמאות שלך בחשבון אחסון ענן פשוט.

כיצד להגיב להתקפת החלפת SIM

אם אתה חושד שנפלת קורבן להחלפת SIM או לכל צורה של גניבת תעודות זהות, בצע את כל השלבים האלה במהירות:

• הגש דוחות גניבת זהות בלשכת המשטרה המקומית שלךוה-FTC.

• התריע בפני הבנקים/המוסדות הפיננסיים שלך על דוח הזהות הפוטנציאלי והעיכובים בחשבונות ובכרטיסי הבנק שלך, ולאחר מכן צור קשר עם כל שלוש לשכות האשראי (Experian,Equifax, וטרנס יוניון) כדי לבקש הקפאת האשראי שלך ולסמן הונאת אשראי פוטנציאלית. אם אתה חושד שזהות המס שלך או מספרי תעודת זהות שלך נפגעו,פנה למס הכנסה.אולי אפילו תרצה לשנות את חשבון הבנק או מספרי כרטיס האשראי שלךלכל מקרה.

• דווח על גניבת זהות לספק השירות הסלולרי שלך. עם זאת, שים לב שאם לא תוכל להוכיח מספיק שזה קרה ושאתה בעל החשבון החוקי, ייתכן שהם לא יוכלו לעשות הרבה (מכיוון שההאקר הוא מספר הטלפון שלך, והכל).

• אם יש לך רשימה לא מקוונת/אנלוגית של החשבונות שלך והמידע שלהם, שנה את כתובת הדוא"ל והסיסמה של כל חשבון (ודא שכתובת הדוא"ל החדשה אינה קשורה למספר הטלפון שלך; אחת חדשה עובדת בצורה הטובה ביותר), ועדכן כל אבטחת חשבון אחרת אמצעים. המקומות החשובים ביותר להתחיל הם כתובת הדוא"ל שלך ומוסדות פיננסיים, כולל PayPal, Venmo וכו', וכל החשבונות הקשורים למספר הטלפון שלך או לחשבונות Google/Apple שלך.

• חשוב: אם ניתנת האפשרות, אל תשלח למספר הטלפון שלך קודי אישור או קישורי איפוס. אלה יישלחו להאקר, לא לך.

• אם אינך יכול להיכנס לחשבון או לאפס את הסיסמה שלך, פנה לשירות הלקוחות של החשבון בהקדם האפשרי והסביר את המצב. תתבקש להוכיח את זהותך, כך שמידע רב ככל האפשר על החשבון יעזור לך להשתלט בחזרה.