Egyre sűrűbben fordulnak elő „SIM swap-csalások“, melyek akár hatalmas károkat is okoznak: 2015 óta négyszeresére nőtt az ilyen támadások száma, és ma már bárki a csalók áldozatává válhat. (A nyitó illusztráció forrás: Times of India)
A kiberbűnözésnek ez a fajtája különösen kifinomult módszer: első lépésben a gyanútlan és sok esetben óvatlan használótól célzott adathalászattal szereznek meg személyes adatokat, amelyekkel aztán a bűnözők tetemes anyagi károkat képesek okozni.
Tavaly a hazai sajtó két esettel is foglalkozott, miután a rafinált bűnözők tízmilliókat csaltak ki az áldozatoktól.
SIM-eltérítésnek, -megosztásnak, -cserének is hívják a kiberbűnözésnek ezt a típusát, aminek a lényege, hogy a bűnözők átveszik az irányítást az áldozat mobiltelefon-előfizetése felett. A tettesek először célzottan adatokat gyűjtenek a kiszemelt áldozatról, sokszor éppen a saját maga által publikusan megosztott információmorzsákra támaszkodva. Az áldozat személyes adatai az ismert adatszivárgásokból, illegális kémprogram-telepítéséből vagy olyan megtévesztésesekből is származhatnak, mint például a netes és a telefonos adathalászat, amikor közvetlenül a célpontból csalják ki az érzékeny információt. Ilymódon megszerezhetik a többi között a jelszavakat, a használóneveket, a számlavezető bank nevét, a folyószámlaszámot, illetve a legszeményesebb, egyértelműen azonosító adatokat.
Amikor már elegendő személyes információ van a csaló kezében, kapcsolatba lép a kiszemelt áldozat mobiltelefon-szolgáltatójával, és a telefon valódi tulajdonosaként az ügyfélszolgálat munkatársát ráveszi, hogy a telefonszámát egy másik, a kiberbűnöző tulajdonában lévő SIM-kártyára vigye át. A csaló általában arra hivatkozik, hogy a telefonját ellopták vagy elvesztette, esetleg más méretű SIM-kártyára van szüksége. A SIM-cserebere csalásnál a bűnözők úgy veszik át az irányítást a kevésbé körültekintők telefonszáma felett, hogy sikerül megőrizniük az ismeretlenségüket, hiszen nem történik személyes találkozás.
Amint ez a csalafinta folyamat befejeződött, az áldozat elveszíti a hozzáférését a mobilhálózathoz és a saját telefonszámához, telefonja elnémul, hívásasi, szöveges üzenetei már a támadóhoz futnak be.
Az ilyen típusú támadásokkal általában az a cél, hogy hozzáférjenek a célpont online fiókjaihoz. A csalók így óriási pusztítást képesek végezni az áldozat virtuális és magánéletében, beleértve akár a bankszámláinak kiürítését is. Beléphetnek az áldozat közösségimédia-fiókjaiba is, és olyan magánbeszélgetéseket, érzékeny adatokat tartalmazó üzeneteket tudnak letölteni, amelyek romboló hatással lehetnek az áldozat életére. Akár közzé is tehetnek a nevében sértő üzeneteket, állapotjelentéseket, melyekkel szintén nagy erkölcsi károkat okozhatnak.
A kiberbűnözők célja lehet a pénzszerzés: mivel hozzájuk érkeznek be az áldozat telefonhívásai és szöveges üzenetei, megkapják a banki oldalakon kért, a hitelesítéshez szükséges kódokat is, melyekkel hozzáférhetnek a bankszámlájához. Itthon tavaly két, nagy port felvert eset is történt SIM-cserés lopással: az egyik esetben 30 millió, másiknál 51 millió forintot tüntettek el az áldozat bankszámlájáról ezzel a módszerrel, ingatlanvásárlási ürüggyel.
Tanácsok a védelemre
# A lehető legkevesebb információt osszunk meg magunkról a közösségimédia-oldalakon, ne tegyük közzé sehol a teljes nevünket, címünket és telefonszámunkat. Védjük a magánéletünket, ne osszuk meg, hogy merre járunk, miket szoktunk csinálni. A csalóknak valójában elég három adatunkat ellopniuk és máris képesek eltulajdonítani a személyazonosságunkat – ráadásul sokak esetében ez a három adat általában a Facebook-profilon is megtalálható.
# A kettős azonosítás kapcsán is érdemes más lehetőségekben gondolkozni, nemcsak SMS- és telefonhívások szolgálhatnak erre a célra, hanem használható dedikált hitelesítési alkalmazás vagy speciális hardveres hitelesítési kulcseszköz is.
#Az adathalász e-mail szintén népszerű módszer arra, hogy a kiberbűnözők bizalmas információkat szerezzenek. Ezt leggyakrabban úgy érik el, hogy valamely megbízható intézménynek adják ki magukat, abban reménykednek (és nem hiába!), hogy a kiszemelt áldozat gondolkodás nélkül válaszolni vagy kattintani fog a hamis üzenetre. Bár az adathalász e-mailek közül sokat képesek a spamszűrők azonosítani és blokkolni, azt sem árt tudni, hogy milyen árulkodó jelekrőlismerhetjük fel, ha éppen ilyen üzenetet kaptunk.
# A távközlési vállalatok egyre több lehetőséget kínálnak a megfelelő védelemhez: hitelesítést kínáló PIN-kódok, jelkódok és további biztonsági kérdések formájában: nézzünk utána a szolgáltatónk által kínált biztonsági lehetőségeknek.
# A bankok azt tanácsolják, hogy kérjünk minden pénzmozgásról azonnali értesítést, így ameddig él a telefonunk, rögtön értesülhetünk minden eseményről, arról is, ha ellopták a banki adatainkat, és a bűnözők tesztelik a helyességéüket egy kis összegű átutalással.
# Ha azt tapasztaljuk, hogy a telefonunk váratlanul elveszíti a kapcsolatot a hálózattal, csak segélyhívást tudunk róla indítani, haladéktalanul értesítsük erről a bankunkat és a mobilszolgáltatónkat.
