Рассмотрим насколько легко провести кражу номера мобильного телефона и что может сделать злоумышленник, как только он получит контроль над вашим номером телефона? Вкратце: это пугающе легко, и преступники могут многое сделать, как только они заполучат полный контроль.
Мы все время слышим о кражах номеров мобильного телефона — также известных как SIM-взлом или мошенничество с SIM-картой — и все же многие люди думают, что это никогда не может случиться с ними. Действительно, люди часто говорят мне, что они никогда не станут жертвой какого-либо взлома, и они даже удивляются, почему кто-то в принципе может заинтересоваться ними. Но правда заключается в том, что мы являемся частью игры, где ставки недобропорядочных игроков достигают огромных цифр, и они будут продолжать срывать легкодоступные плоды. Тогда почему же просто не использовать несколько методов предосторожности чтобы снизить этот риск?
Я вернусь к тому, что вы можете сделать, чтобы снизить такие риски позже, а сначала я хочу рассказать вам, как я сам тестировал процесс кражи номера SIM-карты, чтобы разговор стал предметным и я мог помочь людям понять существующие риски. История из реальной жизни всегда эффективней, когда речь идет о том, чтобы помочь людям быть более осведомленными о кибер-угрозах. На самом деле, я провел аналогичный эксперимент в прошлом году, когда я продемонстрировал, насколько легко взломать любой аккаунт WhatsApp, зная номер телефона. Это был очень ценный урок для коллеги, которого я выбрал в качестве жертвы.
Я знаю моего друга — давайте назовем его Пол — со времен школы, и с тех пор мы всегда были близкими друзьями. Недавно я спросил у него разрешение на то, чтобы этично взломать его номер телефона из лучших побуждений и использовать все, что узнаю из этого процесса во имя кибер-осведомленности людей и помощи в их защите от возможных будущих атак. Он был счастлив поучаствовать и даже подумал, что стать частью эксперимента может быть весело.
Как происходит кража номера SIM-карты
Все, что мне нужно было чтобы провести тест — настоящее имя Пола и номер телефона. Пол владеет агентством недвижимости, которое продает роскошные объекты недвижимости в одном из самых дорогих мест в Великобритании. Как и в случае с многими другими людьми, его контактные данные можно найти на его же веб-сайте, к тому же проведя добротный старомодный интернет-поиск (или разведку по открытым источникам, также известную как расследование на основе открытых данных), я смог найти намного больше.
Действуя как истинный хакер, я записал всю информацию о нем, которую я смог найти в Интернете, как и сделал бы любой посторонний заинтересованный человек, не направив никаких запросов на добавление в друзья и не следя за ним в его социальных сетях. Хотя некоторые плохие игроки могли бы, на самом деле, попросить свою мишень добавить их в список контактов, я же подумал, что этот эксперимент пройдет лучше, если я буду сохранять дистанцию, так как я на самом деле и так знаю о нем много.
Не понадобилось много времени, чтобы собрать огромное количество информации о нем, особенно через его публичные посты в Instagram и Facebook. Я был заинтересован в том, чтобы найти даты и цифры, которые были бы значимыми для него, поэтому я выяснял дни рождения и все остальное, что представляет хронологический интерес. Вскоре я нашел даты рождения как Пола, так и его сына, для этого мне понадобилось только прочитать несколько открытых постов, которые он сделал по всем социальным сетям до, во время и после их дней рождения. Не нужно быть гением, чтобы определить точные даты их рождения, поэтому я отметил эти интересные даты и перешел к следующей части эксперимента.
Большинство людей в Великобритании используют одну из небольшого количества телекоммуникационных компаний, поэтому я решил начать с одного. Бинго. Мне повезло с первой компанией, это была именно та, которой пользовался мой друг. Пройдя все этапы подключения на связи у меня оказался очень полезный сотрудник, которой я сказал, что я Пол и соответственно дал его номер телефона, по которому я должен был пройти проверку безопасности. Для безопасности в большинстве этих телекоммуникационных компаний нужно вас идентифицировать, для этого нужно назвать две цифры из ранее согласованного PIN-кода. Найдется много людей, которые запоминают номера PIN-кода своих кредитных карт или код разблокировки своего телефона, но это в основном связано с мышечной памятью и необходимостью активно использовать эти коды.
Тем не менее, я сомневаюсь, что многие люди заходят в учетную запись своего телефонного провайдера достаточно часто, чтобы запомнить этот код. Следовательно, люди попадают в ловушку 1: они используют PIN-код, который актуален и легко запоминается, например это может быть дата рождения.
Это именно то, что пригодилось для моего эксперимента. Я не знаю, сколько раз вы неправильно называете цифры, но это, безусловно, более чем одна попытка. Достаточно сказать, что в процессе проверки я сначала назвал «1» и «1» (сын Пола родился в 2011 году). Это был неправильный ответ, но услужливый агент дала мне еще один шанс. На этот раз я попробовал «8» и «2» (Пол родился в 1982 году), на что агент мне ответила, что я прошел проверку на безопасность и попросила описать мою проблему более подробно.
Я, изображая огорчение, дал подробный отчет о том, как был украден мой телефон, о том, что было важно, чтобы SIM-карта была заблокирована и что я купил новую SIM-карту и поэтому нужно было перенести старый номер на новую SIM-карту. У меня была новая SIM-карта в руках, и я мог поместить ее в другой телефон. Я дал агенту номер новой SIM-карты, и она сказала, что мой номер будет перенесен в течение нескольких часов.
На этом этапе все, что мог заметить Пол, это то, что его сетевой сигнал пропал, и никакие текстовые сообщения больше не приходили на его телефон. Он все еще мог заходить в Интернет, при условии доступа к сети Wi-Fi, который у него на самом деле был, поскольку он был в офисе, когда я позвонил его мобильному провайдеру.
В течение двух часов после многократного включения и выключения моего запасного телефона я получил полный доступ к номеру Пола. Я проверил его, позвонив на мой номер с запасного телефона и, как и обещала агент, новая SIM-карта в моем запасном телефоне теперь имела номер Пола, так как во время звонка на моем телефоне высветилось его имя. Вот где действительно могут начаться проблемы.
Что может дальше предпринять мошенник, укравший номер SIM-карты
Я знал, что это только вопрос времени, и вскоре Пол поймет, что что-то происходит, поэтому я пошел на его веб-сайт и заметил хост, который был популярным конструктором сайтов. Я смог использовать его адрес электронной почты чтобы получить ссылку «забытый пароль» (любимая кнопка хакера), чтобы отправить мой запрос и посмотреть, что произойдет.
Поскольку он немного осведомлен о возможности кибер-атак, у него была установлена двухфакторная аутентификация (2ФА), но к моей радости, только через SMS — ловушку 2. Я прошел соответствующие страницы и в течение нескольких секунд у меня был код, отправленный по SMS на мой запасной телефон. Я вошел на сайт и, вуаля, мне дали возможность изменить его пароль.
В теории я мог бы продолжать подобные действия в его социальных сетях и электронной почте, подвязанной под веб-сеть, но я подумал, что я уже доказал желаемое и решил остановиться. Тем временем я все же подумал, каким было бы удовольствием разместить мое огромное улыбающееся фото на его главной странице, а потом мы увлекательно поболтали, когда я позвонил ему на стационарную линию, чтобы сказать как шикарно выглядит его обновленный сайт сейчас. Само собой разумеется, он был ошеломлен тем, что он увидел, но еще более впечатлен тем, как быстро я получил контроль над его самым ценным активом.
Как защитить себя от кражи номера SIM-карты
Любой, кто сейчас читает эту статью, надеюсь, будет задаваться вопросом, как можно защитить свои учетные записи. Существует два основных способа предотвратить кражу номера мобильного телефона:
- Никогда не используйте ничего связанного с вами в ваших PIN-кодах или паролях.
- Когда это возможно, замените 2 ФА, основанную на SMS-сообщении на приложения-аутентификаторы или физический ключ безопасности.
Такие меры не дали бы мне возможности получить доступ к мобильному телефону Пола, но что более важно, я не смог бы изменить его пароли. Как только эта информация украдена, хакеры могут легко заблокировать подлинных владельцев аккаунта, и владельцам может быть чрезвычайно трудно или даже невозможно восстановить контроль над своими учетными записями. Последствия могут быть особенно ужасными для вашего банка, электронной почты и социальных сетей.
Что касается Пола, я вернул ему доступ к его SIM-карте и веб-сайту, помог ему настроить приложение для аутентификации, а он изменил PIN-код провайдера мобильной связи. Я также помог ему запомнить этот код, обучив его техникам диспетчера паролей. Не менее важно то, что я посоветовал ему больше не делиться конфиденциальной личной информацией в социальных сетях и ограничить количество людей, которые могут видеть его посты или другие материалы на его странице.
