Двухфакторная аутентификация по текстовому сообщению ощущается безопасной — код идёт на ваш телефон, а телефон у вас. Атака с подменой SIM ломает это допущение, крадя сам номер телефона.
Что такое подмена SIM
Ваш номер телефона не привязан навсегда к SIM-карте в вашем телефоне. Мобильный оператор может перенести номер на новую SIM — это нормальная услуга, используемая, когда люди меняют телефоны или теряют SIM. Атака с подменой SIM злоупотребляет ею: злоумышленник связывается с вашим оператором, выдаёт себя за вас и убеждает перенести ваш номер на SIM, которую контролирует злоумышленник. С этого момента ваши звонки и сообщения идут к нему.
Почему это так разрушительно
Когда у злоумышленника есть ваш номер, каждый SMS-код идёт к нему. Он может запрашивать сбросы паролей, подтверждаемые сообщением, и проходить двухфакторные проверки на основе SMS. Номер, который был вашей резервной защитой, становится главным ключом злоумышленника. Это основная причина, по которой руководства по безопасности предпочитают аутентификацию на основе приложения, а не SMS.
Как злоумышленники это проворачивают
Подмена SIM опирается на социальную инженерию и информацию о вас. Злоумышленники собирают личные детали — часто из утечек данных — чтобы отвечать на вопросы оператора об идентичности. Иногда они используют слабую проверку или нечестного сотрудника. Слабое место — процесс оператора по доказательству того, кто вы, а не ваш телефон.
Как защититься
Несколько шагов помогают. Попросите оператора добавить PIN или пароль к вашему аккаунту, требуемый перед любыми изменениями — многие операторы это предлагают. Где можете, переведите двухфакторную аутентификацию с SMS на приложение-аутентификатор или аппаратный ключ безопасности, которых подмена SIM коснуться не может. И будьте скупы на личные детали, которые нужны злоумышленникам, чтобы выдать себя за вас.
Вывод
Подмена SIM обращает ваш номер телефона против вас, перенося его на SIM злоумышленника. Это самая ясная причина, по которой SMS — самая слабая форма двухфакторной аутентификации. Защитите аккаунт у оператора и предпочитайте приложение-аутентификатор или ключ безопасности для всего, что важно.