Kui lihtne on korraldada SIM-i äravahetuse rünnet ja mida saab ründaja teha, kui ta on teie telefoninumbri enda valdusse saanud? Lühidalt: see murettekitavalt lihtne ja kurjategijad saavad taevariigi võtmete olemasolul palju korda saata.
Kuuleme kogu aeg SIM-i äravahetusest – teiste nimedega SIM-i kaaperdamisest ja SIM-i äravahetuse petuskeemist – ja siiski arvavad paljud, et nendega ei saa seda iialgi juhtuda. Tõepoolest, paljud räägivad mulle, et neid ei hakata kunagi mingil viisil häkkima ja nad isegi imestavad, miks keegi neid üldse sihikule võtaks. Aga tõsi on see, et oleme paljude pahatahtlike toimijate jaoks osa tohutute panustega mängust ja nad jätkavad kerge kasu jahtimist. Aga miks siis ei rakendata selle riski vähendamiseks mõningaid ettevaatusabinõusid?
Naasen hiljem selle juurde, mida saate riskide maandamiseks teha, kuid kõigepealt tahan teile öelda, kuidas katsetasin SIM-i äravahetuse rünnet, et saaksin luua sidususe ja aidata inimestel riskidest aru saada. Tõsieluline lugu aitab alati paremini inimestel olla küberteadlikum. Tegelikult korraldasin sarnase katse eelmisel aastal, kui näitasin, kui lihtne on kellegi telefoninumbrit teades tema WhatsAppi kontot häkkida. See oli ohvriks muutunud kolleegile väga väärtuslik õppetund.
Ma tunnen oma sõpra – nimetagem teda Pauliks – juba kooliajast ja oleme sellest ajast olnud lähedased sõbrad. Küsisin talt hiljuti, kas saaksin proovida teda eetiliselt häkkida parema homse nimel ja kasutada kõike, mis sellest tuleneb, küberteadlikkuse huvides ja aidata inimesi kaitsta tulevaste rünnete eest. Ta nõustus meeleldi ja leidis isegi, et katses osalemine oleks lõbus.
Kuidas SIM-i äravahetus toimib
Katse läbiviimiseks vajasin ainult Pauli päris nime ja telefoninumbrit. Paulile kuulub kinnisvarabüroo, mis müüb luksuskinnisvara ühes Suurbritannia kõige kallimas kohas. Sarnaselt paljude teiste inimestega võis ka tema kontaktandmed leida tema veebisaidilt, lisaks suutsin vanade heade veebiuuringute (või avatud lähtekoodiga luure ehk OSINT) abil leida palju muud.
Tegutsedes tõelise ohusubjektina, jäädvustasin tema kohta igasuguse teabe, mida suutsin veebist leida, nagu seda teeks kolmas isik, esitamata tema sotsiaalmeedias ühtegi sõbrataotlust ja teda jälgimata. Ehkki mõned halvad toimijad võiksid tegelikult proovida oma sihtmärkidega ühendusse astuda, arvasin, et see katse oleks parim, kui hoiaksin distantsi, sest ma tean temast tegelikult palju.
Ei läinudki kaua aega, kui tema kohta sai teada tohutult teavet, eriti tema avaliku Instagrami voo ja avali Facebooki postituste kaudu. Otsisin innukalt kuupäevi ja numbreid, mis talle midagi tähendavad, nii et kaevusin sünnipäevadesse ja muusse, mis tundusid kronoloogiliselt huvipakkuvad. Peagi leidsin nii Pauli kui ka tema poja sünniajad – piisas vaid vaadata mõnda avalikku postitust, mille ta oma suhtlusvõrgustikesse nende sünnipäevade eel, ajal ja järel tegi. Nende täpsete sünnikuupäevade väljaselgitamiseks ei pidanud olema geenius, seega märkisin need huvipakkuvad kuupäevad üles ja läksin katse järgmise osa juurde.
Enamik Suurbritannia elanikke kasutab ühte vähestest telekommunikatsiooniettevõtetest, nii et otsustasin alustada ühega neist. Bingo. Mul vedas juba esimese ettevõttega, sest ta oli just selle klient. Pärast edasisuunamisi ja väga abivalmis esindaja kättesaamist ütlesin, et olen Paul, ja andsin talle vastava telefoninumbri, millele pidin seejärel saama turbekinnituse. Enamiku nende telekommunikatsiooniettevõtete jaoks on teie isikusamasuse turbekinnituseks kaks numbrit varem kokkulepitud PIN-koodilt. On palju neid, kes jätavad meelde oma krediitkaardi PIN-numbrid või koodi oma telefoni avamiseks, kuid see on suuresti tingitud lihasmälust ja vajadusest neid koode aktiivselt kasutada.
Kuid on vägagi kaheldav, et paljud logivad oma telefonipakkuja kontole piisavalt sageli selleks, et meelde jätta see kood. Seetõttu satuvad inimesed lõksu nr 1: kasutades endale sobivat ja meeldejäävat PIN-koodi, näiteks sünnikuupäeva.
Millest just oli minu katses kasu. Ma ei tea, kui mitme korraga te õiged numbrid saate, kuid neid kordi on kindlasti rohkem kui üks. On ütlematagi selge, et kontrolliprotsessi osana teatasin esmalt 1 ja 1 (Pauli poeg sündis 2011. aastal). See oli vale, kuid abivalmis esindaja andis mulle veel ühe võimaluse. Seekord proovisin 8 ja 2 (Paul on sündinud 1982. aastal), millele tema vastus oli, et ma läbisin turbekontrolli ja mul paluti oma probleemi üksikasjalikumalt kirjeldada.
Andsin mureliku üksikasjaliku ülevaate selle kohta, kuidas mu telefon varastati, et on hädavajalik, et SIM-kaart suletaks ja et ma olin ostnud uue SIM-kaardi ja vajaksin seetõttu selle teisaldamist. Mul oli käes uus SIM-kaart, mis oli varutelefoni paigutamiseks valmis. Andsin töötajale uue SIM-numbri ja ta ütles, et minu number teisaldatakse mõne tunni jooksul.
Selles etapis oleks Paul märganud vaid seda, et tema võrgusignaal oleks lakanud ja tema telefoni ei oleks saabunud enam SMS-e. Tal oleks ikkagi olnud juurdepääs internetile, kui ta kasutab WiFi-ühendust, mida ta tegelikult tegi, sest ta oli kontoris, kui helistasin tema mobiilsidepakkujale.
Kahe tunni jooksul pärast varutelefoni mitmekordset sisse- ja väljalülitamist anti mulle täielik juurdepääs Pauli numbrile. Katsetasin seda, helistades oma telefonist, oma varutelefonist ja nagu esindaja õigesti mainis, toimis see uus SIM minu varutelefonis nüüd Paulina, sest tema nimi ilmus minu telefoni, kui see helises. Ja see ongi koht, kus tõeline oht algab.
Mida SIM-i äravahetaja võib järgmisena teha
Teadsin, et on vaid aja küsimus, millal Paul mõistab, et miskit toimub, nii et läksin tema veebisaidile ja märkisin ära hosti, kes on populaarne veebisaidilooja. Ma sain kasutada tema meiliaadressi seoses lingiga “unustatud parool” (häkkerite lemmiknupp), et oma taotlus esitada ja näha, mis juhtub.
Et tal on küberrünnetest mõõdukalt aimu, oli ta lasknud seadistada kaheastmelise autentimise (2FA), ent minu rõõmuks ainult SMS-i abil – lõks nr 2. Klõpsasin vastavad lehed läbi ja mõne sekundiga saadeti kood SMS-iga minu varutelefoni. Sisestasin selle uuesti veebisaidil ja ennäe – mulle anti võimalus tema parooli muuta.
Oleksin võinud jätkata sarnaste toimingute tegemist ka tema sotsiaalmeedias ja veebipõhises meilis, kuid arvasin, et olen ennast selgelt väljendanud, ja otsustasin tagasi tõmbuda. Seal olles arvasin siiski, et on tore paigutada tema esilehele tohutu naeratav näopilt, mis muutis vestluse huvitavaks, kui helistasin talle lauatelefonile ja teatasin, et tema uuendatud veebisait näeb praegu suurepärane välja. On ütlematagi selge, et ta oli nähtust vapustatud, kuid muljet avaldas talle rohkem see, kui kiiresti ma olin tema kõige väärtuslikuma vara enda valdusse võtnud.
Kuidas kaitsta end SIM-i äravahetuse petuskeemide eest
Kõik, kes seda loevad, peavad nüüd loodetavasti aru, kuidas saaks oma kontosid kaitsta. SIM-i äravahetuse rünnete nurjamiseks on kaks põhiviisi.
- Ärge kunagi kasutage oma PIN-koodides ega paroolides midagi endaga seostatavat.
- Võimaluse korral asendage SMS-põhine 2FA kas autentimisrakendusega või füüsilise turbevõtmega.
See oleks mind takistanud Pauli mobiiltelefonikontole juurdepääsu saamast, kuid mis veelgi olulisem: see oleks mind takistanud muutmast tema paroole. Kui need on varastatud, võivad kuritegelikud häkkerid hõlpsasti tõelised kontoomanikud oma kontodelt välja tõrjuda ja nende uuesti valdusse saamine võib olla äärmiselt keeruline või isegi võimatu. Tagajärjed võivad olla eriti hirmsad teie panga, meili ja sotsiaalmeediakontode jaoks.
Mis puutub Pauli, siis andsin talle tagasi juurdepääsu tema SIM-kaardile ja veebisaidile, aitasin tal seadistada autentimisrakenduse ja ta muutis oma mobiilsidepakkuja PIN-koodi. Aitasin tal selle koodi ka meelde jätta, õpetades talle paroolihalduri viise. Pole vähetähtis seegi, et soovitasin tal lõpetada delikaatsete isikuandmete jagamise sotsiaalmeedias ja piirata nende arvu, kes näevad seal tema postitusi või muud materjali.
