SIM swaping/swap (výměna SIM karty) je bezpečnostní útok vedoucí k ztrátě identity v podobě odcizení telefonního čísla. Je častým nástrojem pro následné získání přístupů k službám, které mají dvoufaktor/ověření právě pomocí telefonu. Což je velmi často e-mail, sociální sítě, bankovní aplikace.
Pokud útočník získá vaše telefonní číslo do svého mobilu, tak veškerá volání na toto číslo a veškeré SMS půjdou do jeho telefonu. Váš původní telefon se odpojí.
K získání vaší SIM (není to úplně přesně, ale viz dále) je zpravidla nutné nějak přesvědčit operátora, že jste (například) ztratili sim, rozbila se vám. A že potřebujete pro vaše telefonní číslo vydat SIM novou – ať už klasickou, nebo eSIM.
Útočníci k tomu často používají sociální inženýrství, ke kterému zpravidla potřebují údaje, které jim pomohou se za vás vydávat u operátora – jméno, adresa, telefonní číslo, datum narození. Pokud u operátora je nějaké to “heslo pro komunikaci”, nebo pokud u operátora je online systém, kde lze tyto operace provádět, tak mají o to snazší práci.
Operátor následně vystaví novou SIM pro vaše číslo. A útočník tak získá vše co potřebuje pro další útoky.
Jak se SIM swappingu bránit?
Především, v žádném případě nepoužívejte telefonní čísla pro dvoufaktor. Takže i kdyby někdo vaše číslo získal, nepomůže mu to k získání přístup do dalších služeb či systémů. Dvoufaktor je prostě zásadní v běžném užití, tedy pomocí aplikace, a pro pokročilejší, zásadně důležité účty, biometrické ověření, hardwarové klíče, atd.
Velmi podstatné je mít i silná hesla, unikátní, jak už je to roky zvykem. A platí to právě i pro hesla do samoobsluh či “pro komunikaci” u operátora. Tam ale můžete narazit na zabržděnost, kdy právě tato “hesla” bývají jen na úrovní číselného PINu s minimem číslic. A jakkoliv by se mohlo velmi hodit chránit samoobsluhy dvoufaktorem, alespoň některé funkce, nečekejte že by to bylo možné.
Nezapomeňte, že zásadní ochranu vyžadují vaše e-mailové účty. Ty je nutné chránit dvoufaktorem především, protože pokud někdo získá přístup k e-mailům, tak zpravidla získá přístupy k řadě dalších věcí. O informacích z vaší pošty raději ani nemluvě.
Velmi důležité je i nenaletět na phishing. Součástí útoků vedoucích k výměně SIM jsou běžně cílené phishing, které z cíle dostanou potřebné informace. Ať už osobní údaje nebo různorodá hesla.
Tipy týkající se Bezpečného Internetu
-
TIP#2836: VPN pro (nejen) Android/iOS zdarma i placené. Co pořídit a pár praktických postřehů
Je taková doba, kdy je vhodní mít pro ruce VPN. Zejména pro nápady EU, které vedou k nedostupnosti některých věcí z USA (jako třeba Advanced Voice Mode od ChatGPT donedávna). Nebo pro…
-
TIP#2819: Máte podezření, že váš iPhone byl hacknut? Dá se to nějak poznat? A hlavně, co se dá dělat?
Hacknutý iPhone (či iPad) je poměrně méně obvyklá situace, ale i přes veškerá tvrzení to možné je. Různé bezpečnostní chyby, ale i nepozornost uživatelů, může vést k tomu, že se útočníkům podaří…
-
TIP#2795: Spam nebo Phishing? Jak se to pozná a proč (ne)nahlašovat
Je nějaký rozdíl mezi spamem a phishingem? A jak s tímto typickým nešvarem (v prvním případě) či extrémně nebezpečným bezpečnostním útokem zacházet?
-
TIP#2784: Co je to shovelware?
Člověk se stále učí nová zajímavá slovíčka a také nové podivuhodné taktiky. V tomto případě, jak -ware napovídá, týkající se software.
-
TIP#2713: Jak poznám phishingový e-mail? Co dělat, pokud máte podezření na phishing?
Nedávná záplava phishingových e-mailů snažících se ukrást účet na Substacku (viz Phishing tvářící se jako Substack. Má to ale několik háčků) mi připomněla, že je možná dost dobré shrnout základní postup jak…
-
TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon?
Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam…
-
TIP#2589: Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam
Gmail má užitečnou funkci. Můžete si přidat jiný e-mail a/nebo telefonní číslo pro obnovení účtu. Tedy pro situace kdy se na účet nemůžete dostat, ať už pro zapomenuté heslo nebo pro napadení…
-
TIP#2584: Co je to Quishing?
V médiích teď frčí psát o quishingu, takže proč nepřipomenout něco, co probíral jeden ze zdejších tipů už v roce 2021: Jsou QR kódy bezpečné? Co hrozí při používání?
-
TIP#2523: Jak (bezpečně) chodit do internetového bankovnictví? Přes vyhledávač v žádném případě!
Připadá vám otázka „Jak chodit do internetového bankovnictví?“ zbytečná? Není tomu tak, jde totiž o bezpečnost – konkrétně o to, že když někdo chce jít do své banky na Internetu, tak mu…
-
TIP#2516: Nakupovat na “marketplace” jako tom od Kauflandu, Allegro či AliExpress? Co vám hrozí
Marketplace je chytré zaklínadlo pro online tržiště (obchod), které zprostředkovává prodej mezi kupujícím a prodávajícím – tím není samotné tržiště, takže i když zdánlivě kupujete něco od (například) Kauflandu či Allegro, tak…
-
TIP#2513: Od kolika let by mělo (mohlo) mít dítě mobilní telefon? A jaký?
Někdy před pár lety, když vznikla knížka Dítě v sítí, se to tu určitě někde objevilo, ale ne jako samostatný tip. Přitom jde o poměrně časté dilema, které mají rodiče. Dilema, na…
-
TIP#2498: Co je to vishing?
Vishing je slovo vytvořené z voice phishing. A protože už phishing je nástroj podvodníků, tak je tomu tak i u vishingu. K phishingu případně viz Co je to phishing a proč tomu…
-
TIP#2486: Jak rizikové je někomu sdělovat sériové číslo, IMEI a IMEI2 mého telefonu?
Sdělení sériového čísla, IMEI a IMEI2 vašeho iPhone někomu může představovat riziko, zejména pokud nemáte důvěru v danou osobu nebo organizaci, které tyto informace poskytujete. Zde jsou hlavní obavy:
-
TIP#2325: Jak bezpečně hledat na Google? Ochrana soukromí při vyhledávání
“Bezpečně” hledat na Google? Téma posledních dnů, které má ale několik samostatných (ale zároveň i souvisejících) aspektů. Prakticky všechny jsou již v jiných tipech, ale s ohledem na množící se dotazy a…
-
TIP#2322: Jak nenaletět podvodníkům, když něco prodáváte přes Internet. Co nikdy nedělat
Věnoval jsem tomu v září podcast Phishing, rhybaření a jak lidé přicházejí o peníze z účtu či účty na Facebooku, takže pokud máte chuť si poslechnout zhruba čtvrt hodiny, můžete začít tím.…
