توضیحات خلاصه درباره

حملات تعویض سیم‌کارت «Sim Swapping»، خطری در کمین تمام حساب‌های آنلاین

در روزهای اخیر خبر هک شدن حساب تویتتری جک دورسی، مدیرعامل شرکت توییتر، بار دیگر باعث شد تا توجه عمومی به خطرات حملات تعویض سیم‌کارت «Sim Swapping»، به‌عنوان یکی از مشکلات قدیمی در بستر اپراتورهای تلفن همراه جلب شود که می‌تواند منجر به هک شدن حساب‌های کاربری مختلف شود. در این مطلب کوتاه ضمن هشدار درمورد خطر حمله تعویض سیم‌کارت، راهکارهای مقدماتی برای مقابله با این مشکل امنیتی را به تمام کاربران توصیه می‌کنیم.

یکی از مشکلات قدیمی و شناخته شده‌ در بستر شبکه‌های موبایلی که مرتبط با سازوکار اپراتورهای تلفن همراه است، حمله تعویض سیم کارت «Sim Swapping Attack» است. حملات تعویض سیم‌کارت به هکرها اجازه می‌دهد تا با روش‌هایی جعلی، مالکیت سیم‌کارت‌های موبایل شما را به سرقت برده و زندگی شما را در معرض خطرات گوناگون قرار دهند.

در حالت عادی، هکرها در یک حمله تعویض سیم‌کارت در ساده‌ترین شکل ممکن، اپراتورهای تلفن همراه را متقاعد می‌کنند که شماره سیم‌کارت شما را به یک اپراتور جدید تغییر دهند. از آنجایی که هکرها ممکن است اطلاعات هویتی شما را از روی وب‌سایت‌ها و منابع مختلف بیابند و از آن برای فریب اپراتور تلفن همراه شما استفاده کنند، این اتفاق در کوتاه‌ترین زمان ممکن می‌تواند رخ دهد.

در واقع پس از انجام حمله تعویض سیم‌کارت، زمانی‌که اپراتور سیم‌کارت شما تغییر می‌کند، شماره تلفن همراه شما روی یک سیم‌کارت جدید فعال شده و تمام اطلاعات دریافتی آن، مانند تماس‌های تلفنی و پیامک‌ها، به سیم‌کارت جدید منتقل می‌شوند.

به‌این‌ترتیب، به‌جای اینکه پیامک‌های حساس (مانند کدهای احراز هویت ورود مرحله‌ای) به دست شما برسد، برای هکرها ارسال شده و آن‌ها به راحتی می‌توانند از این طریق برای ورود به حساب‌های کاربری شما در شبکه‌های اجتماعی، ایمیل‌ها و حتی حساب بانکی‌تان استفاده کنند.

به‌طور کلی باید گفت که حملات تعویض سیم‌کارت یکی از موثرترین روش‌های هک ترکیبی برای سرقت حساب‌های کاربری مختلف است. در سال‌های اخیر نیز افراد شناخته بسیاری، مانند خواننده‌ها، هنرپیشه‌ها، سرمایه‌گذاران و مدیران شرکت‌های بزرگ هدف این نوع حمله واقع شده‌اند. تنها در یک نمونه در سال گذشته، هکرها از حساب‌های مالی مایکل تراپین، یکی از سرمایه‌گذاران مشهور ارز دیجیتالی، ۲۳.۸ میلیون دلار  به سرقت بردند. 

با این حال، همانند همیشه روش‌هایی برای مقابله با حملات تعویض سیم‌کارت و جلوگیری از سرقت حساب‌های کاربری آنلاین وجود دارد. 

 

استفاده از پین‌کد سیم‌کارت

بسیاری از کاربران تصور می‌کنند پین‌کدهای موجود در بسته‌بندی سیم‌کارت‌ها فاقد کارایی مثبت بوده و به همین دلیل آن را غیرفعال می‌کنند. اما در حقیقت PIN و PUK کدها، رمزهایی ۴ یا ۸ رقمی برای محافظت فیزیکی و هویتی سیم‌کارت‌ها هستند که در زمان انجام حملات تعویض سیم‌کارت، مهاجمان بدون دانستن آن نمی‌توانند شماره تلفن شما را به دیگر اپراتورهای مخابراتی انتقال دهند. بنابراین تحت هر شرایطی، حتما پین‌کد سیم‌کارت خود را فعال نگه دارید.

 

استفاده از یک اپراتور موبایل مطمئن

حمله تعویض سیم‌کارت تنها یکی از مخاطرات مرتبط با شبکه‌‌های موبایلی بوده و حملات هک گوناگونی در این بستر امکان‌پذیر است. بنابراین استفاده از یک اپراتور موبایل مطمئن که سازوکارهای امنیتی مناسب‌تری دارد، می‌تواند یکی دیگر از رویکردهای ایمن‌سازی در این راستا محسوب شود. برای این‌کار می‌بایست ابتدا با اپراتورهای موبایل خود تماس بگیرید و درمورد فعال‌سازی لایه‌های امنیتی برای تعویض سیم‌کارت و دیگر خدمات مطمئن شوید؛ در صورتی که اپراتور شما چنین مواردی را پشتیبانی نمی‌کند، توصیه ما تغییر اپراتور یا استفاده از یک سیم‌کارت جدید صادر شده از سوی یک اپراتور مطمئن‌تر است.

 

استفاده از روش‌های مطمئن احراز هویت

همانطور که پیش‌تر نیز گفته بودیم، استفاده از کدهای پیامکی برای احراز هویت در حال حاضر یک شیوه منسوخ و ناامن محسوب می‌شود که پس از انجام حملات تعویض سیم‌کارت، استفاده از احراز هویت پیامکی از علل اصلی هک شدن حساب‌ها است. توجه داشته باشید برای احراز هویت و فعال‌سازی ورود دو مرحله‌ای در حساب‌های کاربری آنلاین، می‌توانید از روش‌های مطمئن‌تر مانند احراز هویت از طریق رمزهای یکبار مصرف زمان‌دار (با استفاده از برنامه‌های Google Authenticator, Authy و…) یا کلیدهای امنیتی (Yubikey) استفاده کنید.

فراموش نکنید در برخی سرویس‌ها، ممکن است به‌جز احراز هویت، برای بازیابی حساب‌ها از شما شماره تلفن خواسته شود که توصیه ما استفاده از روش‌های جایگزین مطمئن‌تر (در صورت امکان) است. برای مثال در تنظیمات سرویس گوگل، برای بازیابی حساب کاربری، شما دو گزینه «Recovery phone» و «Recovery email» در اختیار دارید که توصیه ما تنها استفاده از آدرس ایمیل پشتیبان است.

 

 

توضیحات بیشتر در:

Hackers Hit Twitter C.E.O. Jack Dorsey in a ‘SIM Swap.’ You’re at Risk, Too
How to Protect Yourself Against a SIM Swap Attack