koristni članki

Kako preprečiti prevaro o zamenjavi SIM in se odzvati nanjo

Ko je Matthew Miller ZDNet-a zadel napad na zamenjavo SIM, ga je označil za "grozljivo zgodbo", zaradi katere je izgubil "desetletja podatkov". In ni hiperboličen; več kot en teden pozneje se še vedno ukvarja z učinki, pri večjih tehnoloških igralcih - tudi Twitterju in Googlu - pa ni nobenega zagotovila, da bo kdaj lahko dobil dostop do tistega, kar so mu napadli napadalci.

Zamenjava kartice SIM je velika težava, še posebej, če ste tudi aktivno vključeni v skupnost kripto valute - odličen način, da napadalci malo zmedejo življenje. K sreči lahko nekaj manjših preobratov glede varnostnih praks vašega računa zmanjša verjetnost, da vam bo ta dražljiv problem kdaj pokvaril dan (ali mesec).

Kaj je zamenjava SIM?

Zamenjava SIM vključuje hekerja, ki varuje mobilnega ponudnika, da verjame, da svojo kartico SIM aktivirate v drugi napravi. Z drugimi besedami, ti ukradejo vašo telefonsko številko in jo povežejo s kartico SIM.

Če bo uspešen, bo ta napad izključil vašo napravo in njihova naprava bo zdaj cilj vseh besedil, telefonskih klicev, podatkov in računov, vezanih na vašo telefonsko številko in kartico SIM. S temi informacijami bi lahko napadalec zlahka pridobil dostop do vaših računov v aplikacijah, osebnih podatkov in finančnih podatkov. Lahko bi vas celo za vedno zaklenili iz svojih storitev.

Pomislite, koliko aplikacij in računov uporablja vašo telefonsko številko za preverjanje svoje identitete - in sploh, ko se prijavite s svojim uporabniškim imenom in geslom, česar napadalec ne bo vedel, ampak zelo mehanizmi za obnovitev, ki bi jih uporabili za ponastavitev tega ključne informacije. Vsa varnost računa na svetu ne bo naredila nič dobrega, če se napadalec lahko pretvarja, da ste vi samo s prevzemom svoje telefonske številke.

Kako izgleda prevara SIM swap

Za opravljanje zamenjave kartice SIM oseba ne potrebuje fizičnega dostopa do vašega telefona - vse to lahko naredi na daljavo, ne glede na znamko in model vaše naprave ali ponudnika storitev. Enostavno morajo imeti dovolj informacij, da prepričajo zastopnika za podporo strankam, da ste vi. Morda ne boste videli prevara o zamenjavi SIM na poti, dokler ne bo prepozno.

Najlažji način za sporočilo, da ste bili ciljno zamenjani na SIM, je, ko iz svojega telefona opazite nenavadno vedenje, na primer nezmožnost pošiljanja ali prejemanja besedil in klicev, čeprav ni bila izključena storitev; od ponudnika prejemate obvestila, da je bila vaša telefonska številka ali kartica SIM drugje aktivirana; ali se ne morete prijaviti v noben pomemben račun. Oglejte si ta nedavni primer Matthewa Millerja iz ZDNeta:

Preprečevanje napada zamenjave SIM

Zdaj je veliko lažje nastaviti obrambo pred napadi na izmenjavo SIM, kot če se odpravimo pred izpadom enega - eden je manjše moteče, drugi pa bo porabil vaš teden (ali več).

Pazite na lažne prevare

Prvi korak v napadu zamenjave SIM je ponavadi (vendar ne vedno) lažno predstavljanje. Skeptirana e-poštna sporočila z zlonamernimi povezavami, lažni zasloni za prijavo, ponarejenimi naslovnimi vrsticami - lahko je veliko oblik lažnih prevar, vendar jih je enostavno opaziti, če veste, na kaj morate biti pozorni. Ne kliknite povezav, prenesite programe ali se prijavite na spletna mesta, ki jih ne prepoznate. Če napadalec dobi dovolj ključnih podatkov o vas iz teh napadov, bo imel na voljo vse, kar bodo morali poskusiti s zamenjavo SIM.

Zmanjšajte čezmerne osebne podatke v spletu

Drugi zgodnji del zamenjave kartice SIM poleg lažnega predstavljanja ali namesto njega vključuje socialni inženiring - v osnovi zbere čim več podatkov o vas, da lahko heker zanesljivo posreduje za vas po telefonu ali po e-pošti.

Če želite to preprečiti, hranite svojo telefonsko številko, datum rojstva, poštni naslov in vse druge ogrožajoče podatke čim več vaših računov in teh podatkov ne delite javno, če se jim lahko izognete. Nekateri od teh podatkov so potrebni za določene storitve, vendar vam ni treba, da bi jih bilo mogoče iskati na družabnih medijih. Vse dodatne račune, ki jih ne uporabljate več, morate preklicati in izbrisati.

Zaščitite svoje račune

Številni digitalni računi imajo nastavitve, s pomočjo katerih vam lahko vrnejo račune, če so kdaj ukradeni - vendar jih je treba pravilno nastaviti, če so ukradeni, da bi vam lahko pomagali. Ti lahko vključujejo:

  • Ustvarjanje številke PIN, ki je potrebna za prijavo in spremembe gesla. To je še posebej pomembno, da nastavite s svojim mobilnim operaterjem, saj je odlična obramba pred ugrabitvijo SIM.
  • Primerna dvofaktorska varnostna metoda, ki temelji na fizični napravi, kot sta Google Authenticator ali Authy, in ne na SMS-ju za preverjanje prijav. Če želite resnično navdušiti, lahko dobite tudi žeton strojne opreme za zaščito svojih računov.
  • Močno odgovarja na vprašanja o obnovitvi varnosti, ki niso vezana na vaše osebne podatke.
  • Če je mogoče, prekinete povezavo telefonske številke pametnega telefona in računov. (Če želite, da ga imate za občutljive račune, lahko vedno uporabite brezplačno številko Google Voice.)
  • Uporaba dolgih, randomiziranih in edinstvenih gesel za vsak račun.
  • Uporabite šifriran upravitelj gesla.
  • Ne uporabljajte svojih najljubših storitev (Google, Facebook, itd.) Za prijavo v druge storitve; Vse, kar napadalec potrebuje, je vdreti v enega, da bo imel dostop do veliko več svojega digitalnega življenja.

Zapomnite si tudi pomembne podatke v zvezi z računom, s katerimi bi vas lahko prepoznali kot zakonitega imetnika računa, na primer:

  • Mesec in leto, ko ste ustvarili račun
  • Prejšnja zaslonska imena na računu
  • Fizični naslovi, povezani z računom
  • Številke kreditnih kartic, ki ste jih uporabili pri računih ali bančnih izpiskih, ki lahko potrdijo, da ste bili tisti, ki ste kupovali
  • Vsebina, ki jo ustvarijo računi, na primer imena znakov, če je račun za spletno video igro

Podobno bo vodenje seznama vseh vaših kritičnih računov olajšalo odzivanje na zamenjavo SIM ali podobno krajo ID-ja, saj boste lahko varno premetavali vsak račun in spreminjali gesla, e-poštne naslove in podobno. Vse te podatke naj bodo varno shranjene - morda celo kot fizični izpis besedilne datoteke -, ne pa da jih shranite v storitev, povezano z digitalno enoto (v katero je mogoče razbiti).

Decentralizirajte svoj spletni odtis

Razmislite o uporabi šifriranih, odprtokodnih aplikacij in storitev, namesto samo aplikacij iz Googla, Apple-a, Microsofta, da ohranite širjenje pomembnih podatkov z najbolj občutljivimi podatki, shranjenimi na mestih z najvišjo varnostjo. To velja za e-pošto, aplikacije za sporočila, bančne aplikacije itd. Google Drive in iCloud sta odlična, a če se vse zlije v en sam pogon - vključno z osebnimi finančnimi podatki in podobno -, ste zajebani.

Prav tako morate nekatere podatke v celoti shraniti iz oblaka. Davčnih obračunov ne mečite v svoj Google Drive, ker če bi nekdo dobil dostop, bi nenadoma imel na vrsto kritične podatke o vas (in veliko informacij, ki bi jih lahko uporabili, če bi se pretvarjali, da ste vi). Prosimo, ne glede na vse, ne hranite seznama svojih običajnih gesel, varnostnih kopij ključ, PDF-ja za "obnovitev računa" skrbnika gesla v preprostem računu za shranjevanje v oblaku.

Kako se odzvati na napad zamenjave SIM

Če sumite, da ste postali žrtev zamenjave kartice SIM ali katere koli oblike kraje ID-ja, hitro opravite vse te korake:

  • Prijavite krajo identitete pri lokalnem policijskem uradu in FTC.
  • Opozorite svoje banke / finančne institucije na morebitno identifikacijsko poročilo in zahtevo, ki jo je treba vstaviti na svoje račune in bančne kartice, nato pa se obrnite na vse tri kreditne biroje (Experian, Equifax in TransUnion), da zahtevate zamrznitev vaše kreditne kartice in morebitne kreditne goljufije. Če sumite, da so vaše davčne identitete ali številke socialnega zavarovanja ogrožene, se obrnite na IRS. Morda boste celo želeli spremeniti številke svojega bančnega računa ali kreditne kartice.
  • O kraji identitete prijavite ponudnika mobilnih storitev. Vendar se zavedajte, da če ne boste dovolj dokazali, da se je to zgodilo in da ste pravi imetnik računa, morda ne bodo mogli storiti veliko (od hekerja kot vaše telefonske številke in vsega).
  • Če imate brez povezave / analogni seznam svojih računov in njihovih podatkov, spremenite e-poštni naslov in geslo vsakega računa (poskrbite, da novi e-poštni naslov ni vezan na vašo telefonsko številko; nov deluje najbolje) in posodobite katero koli drugo varnost računa ukrepi. Najpomembnejša mesta, ki jih lahko začnete, so vaš e-poštni naslov in finančne ustanove, vključno s PayPal, Venmo itd., In vsi računi, vezani na vašo telefonsko številko ali Google / Apple račune.
  • Pomembno: Če imate možnost, NE pošiljajte potrditvenih kod ali ponastavite povezave na vašo telefonsko številko. Ti bodo poslani hekerju, ne vam.
  • Če se ne morete prijaviti v račun ali ponastaviti gesla, se obrnite na službo za stranke tega računa ASAP in razložite situacijo. Od vas se bo zahtevalo, da dokažete svojo identiteto, tako da vam bo čim več informacij o računu pomagalo prevzeti nadzor.