SIM swapping 2.0
SIM swappers, cyberkriminella som försöker ta över offrens mobiltelefonnummer, har vidareutvecklat sina metoder. SIM swapparna har kommit på ett sätt att ta över/flytta telefonnumret till ett nytt eSIM-kort.
eSIMs
eSIM, eller Embedded Subscriber Identity Modules, är digitala SIM-kort som lagras på ett omskrivbart chip i majoriteten av de senaste smarttelefonmodellerna, vilket gör att de kan programmeras om och aktiveras eller avaktiveras på distans.
Till skillnad från fysiska SIM-kort är det enkelt för användare att lägga till ett eSIM till en kompatibel enhet genom att skanna en QR-kod som tillhandahålls av deras tjänsteleverantör. Denna teknik vinner popularitet eftersom den eliminerar behovet av en SIM-kortplats och möjliggör mobil anslutning på små bärbara enheter, till exempel eSIM i smartklockor.
SIM swappers över hela världen använder dessa eSIM för att kapa telefonnummer och kringgå skyddsåtgärder för att komma åt bankkonton (bland annat).
Då och nu
Tidigare förlitade sig SIM swappare på social ingenjörskonst [1] eller samarbete med insiders [2] hos mobiloperatörer. Men när företag implementerade fler skyddssystem vände sig cyberbrottslingar till ny teknik.
Angripare får nu tillgång till en användares konto hos telekomleverantören med hjälp av stulna, brute-force eller läckta referenser, och initierar portering av numret till en annan enhet. De gör detta genom att generera en QR-kod via det kapade mobilkontot, som sedan används för att aktivera ett nytt eSIM, vilket effektivt kapar numret. Samtidigt avaktiveras den legitima ägarens eSIM/SIM.
Genom att få tillgång till offrets mobiltelefonnummer kan cyberbrottslingar få åtkomstkoder och tvåfaktorsautentisering för olika tjänster, inklusive koder från banker och meddelandetjänster.
En ytterligare fördel för angriparna är att de genom att överföra numret till sin enhet kan komma åt konton i olika meddelandeappar kopplade till SIM-numret, vilket ger dem fler möjligheter att lura andra, som att utge sig för att vara offer och övertala dem att överföra pengar .
Vad kan du göra för att försvara dig mot eSIM swapping?
- Aktivera 2FA (tvåfaktorsautentisering) så mycket som möjligt. För värdefulla konton som din bank och/eller kryptovaluta plånböcker, använd en 2FA-metod som använder en fysisk nyckel eller en dedikerad autentiseringsapp som Google Authenticator.
- Använd unika och komplexa lösenord för ditt konto hos din teleoperatör. Var särskilt noga med att inte använda detta lösenord på andra webbplatser eller tjänster. Har du svårt att skapa eller komma ihåg många unika lösenord? Använd en lösenordshanterare! Detta tar till en början lite tid och energi att ordna, men i slutändan kommer det att vara värt jobbet och ge ett högre skydd.
Är du osäker på om dina uppgifter är inblandade i dataintrång?
På webbplatsen https://haveibeenpwned.com kan du kontrollera om dina e-postadresser eller telefonnummer förekommer i många av de kända dataintrången. Om dina uppgifter är inblandade i ett dataintrång kommer dina inloggningsuppgifter (som ditt användarnamn och/eller lösenord) att cirkulera någonstans på internet. En positiv träff inom haveibeenpwned anger alltid vilken data som är inblandad i dataintrånget.
[1] Social ingenjörskonst är manipulation av människor för att få konfidentiell information eller förmå dem att vidta vissa åtgärder.
[2] https://www.justice.gov/usao-nj/pr/former-telecommunications-company-manager-admits-role-sim-swapping-scheme
Om du vill lära dig mer om dessa typer av bedrägerimetoder kan du följa en av våra kurser om cybercrime.
