2 возможных способа взлома SIM-карты (и способы ее защиты)

2 возможных способа взлома SIM-карты (и способы ее защиты)

Вы, вероятно, знаете, что операционная система смартфона нуждается в регулярном обновлении для защиты от уязвимостей системы безопасности. Но ваша SIM-карта также может быть источником угроз. В этой статье я расскажу вам о том, как хакеры могут использовать SIM-карты для доступа к устройствам, а также посоветую, как обеспечить безопасность вашей SIM-карты.

1. Simjacker

В сентябре 2019 года специалисты по безопасности компании AdaptiveMobile Security объявили об обнаружении новой уязвимости безопасности под названием Simjacker. Эта сложная атака нацелена на SIM-карты. Реализовать её можно, отправив код на целевое устройство с помощью SMS-сообщения.

Если цель открывает сообщение, хакеры могут использовать код для наблюдения за ним, шпионить за звонками и сообщениями и даже отслеживать местоположение.

2 возможных способа взлома SIM-карты (и способы ее защиты) 1

Уязвимость реализуется с помощью программного обеспечения под названием S@T Browser, которое является частью набора инструментов SIM-приложений (STK), используемого многими телефонными операторами на своих SIM-картах. Браузер SIMalliance Toolbox Browser — по сути, это базовый веб-браузер, позволяющий поставщикам услуг взаимодействовать с веб-приложениями, такими как электронная почта.

Однако теперь, когда большинство людей используют на своем устройстве такие браузеры, как Chrome или Firefox, S@T-браузер используется редко. Впрочем, программное обеспечение все еще установлено на большом количестве устройств, что делает их уязвимыми для Simjacker-атак.

Исследователи полагают, что за последние два года эта атака была использована во многих странах, уточняя, что протокол S@T используется операторами мобильной связи по меньшей мере в 30 странах с общей численностью населения более миллиарда человек, в основном на Ближнем Востоке, в Азии, Северной Африке и Восточной Европе.

Они также полагают, что этот эксплойт был разработан и использован частной компанией, которая сотрудничает с различными правительствами для мониторинга конкретных людей. В настоящее время жертвами этой атаки ежедневно становятся от 100 до 150 человек.

Поскольку атака работает на SIM-карты, все типы телефонов уязвимы, включая как iPhone, так и Android устройства. Simjacker работает даже на eSIM.

SIM card vulnerabilities - how Simjacker works

2. Замена SIM-карты

Еще одной проблемой безопасности, о которой вы могли слышать, является подмена SIM-карты. В августе 2019 года хакеры использовали вариант этой технологии, чтобы захватить личный аккаунт Джека Дорси в Твиттере. Это событие повысило осведомленность о том, насколько разрушительными могут быть эти нападения. Относительно простой метод использует обман и человеческий инжиниринг, а не технические уязвимости.

sim card

Чтобы произвести замену SIM-карты, хакер сначала позвонит вашему оператору мобильной связи. Будет притворяться тобой и попросит заменить SIM-карту. Скажут, что хотят перейти на новое устройство и поэтому нуждаются в новой SIM-карте. В случае успеха телефонный провайдер отправит им SIM-карту.

Затем они могут украсть ваш номер телефона и связать его со своим собственным устройством.

Это имеет два эффекта. Во-первых, ваша настоящая SIM-карта будет деактивирована оператором и перестанет работать. Во-вторых, хакер получает контроль над телефонными звонками, сообщениями и двухфакторными запросами на аутентификацию, отправляемыми на ваш номер телефона. Это означает, что у них может быть достаточно информации для доступа к вашим банковским счетам, электронной почте и многому другому.

И они могут даже заблокировать доступ к вашим счетам.

Замену SIM-карты трудно защитить. Хакеры могут убедить агента службы поддержки клиентов, что это вы. Как только у них будет ваша SIM-карта, они получат контроль над вашим номером телефона. И ты можешь даже не знать, что ты мишень, пока не станет слишком поздно.

Как обезопасить свою SIM-карту

Если вы хотите защитить свою SIM-карту от подобных атак, вы можете предпринять следующие шаги.

Защита от социально-инжиниринговых атак

Чтобы защитить себя от замены SIM-карты, хакеру должно быть трудно найти о вас информацию. Злоумышленники будут использовать данные, которые они найдут о вас в интернете, такие как имена друзей и семьи или ваш адрес. Эта информация поможет убедить агента службы поддержки клиентов в том, что это вы.

Попробуйте ограничить доступ к этой информации, настроив свой профиль в социальных сетях только для друзей и ограничив доступ к публичной информации, которой вы обмениваетесь на других сайтах. Также не забудьте удалить старые учетные записи, которые вы больше не используете для предотвращения их взлома.

Другой способ защиты от замены SIM-карт — не допускать фишинга. Хакеры могут попытаться взломать вашу телефонную книгу, чтобы получить дополнительную информацию, которую они могут использовать для копирования вашей SIM-карты. Будьте начеку в плане подозрительных электронных писем или страниц входа в систему. Будьте осторожны при вводе своих регистрационных данных для любой учетной записи, которую вы используете.

Наконец, подумайте, какие методы двухфакторной аутентификации вы используете. Некоторые двухфакторные службы аутентификации отправят SMS-сообщение на устройство с кодом аутентификации. Это означает, что если ваша SIM-карта взломана, хакеры смогут получить доступ к вашим учетным записям, даже если у вас включена двухфакторная аутентификация.

Вместо этого используйте другой метод аутентификации, например, приложение Google Authentication. Таким образом, аутентификация будет привязана к вашему устройству, а не к номеру телефона, что делает его более защищенным от замены SIM-карты.

Установка системы блокировки SIM-карты

Наиболее важной мерой безопасности, которую вы можете принять для защиты от SIM-атак, является добавление PIN-кода к вашей карте.

Другие советы по безопасности

Как всегда, вы должны использовать надежные индивидуально сгенерированные пароли. Не используйте старые пароли повторно и не используйте один и тот же пароль для нескольких учетных записей.

Кроме того, убедитесь, что ваши ответы на вопросы о восстановлении пароля не являются общедоступными, например, девичья фамилия вашей матери.


Спасибо, что читаете! На данный момент большинство моих заметок, статей и подборок выходит в telegram канале «Левашов». Обязательно подписывайтесь, чтобы не пропустить новости мира ИТ, полезные инструкции и нужные сервисы.


Респект за пост! Спасибо за работу!

Хотите больше постов в блоге? Подборок софта и сервисов, а также обзоры на гаджеты? Сейчас, чтобы писать регулярно и радовать вас большими обзорами, мне требуется помощь. Чтобы поддерживать сайт на регулярной основе, вы можете оформить подписку на российском сервисе Boosty. Или воспользоваться ЮMoney (бывшие Яндекс Деньги) для разовой поддержки:


Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

перевод с makeuseof.com

Подписаться
Уведомление о
guest
2 комментариев
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Игорь Баранов-ака
Игорь Баранов-ака
4 лет назад

Хочу узнать такого оператора, где так можно сделать. С МТС Мегафон Билайн Теле2 это так не прокатывает. Глупая статья

Прослушка Телефона 89031860661
Прослушка Телефона 89031860661
4 лет назад

точно

2
0
Прочитали? Прокомментируйте!x
Яндекс.Метрика