Jak działa kradzież karty SIM? Co to jest SIM swap?

Grupa na Facebooku:   / od0dopentestera  
Subskrybuj kanał: https://www.youtube.com/c/KacperSzure...

Spotify: https://open.spotify.com/show/4qGXKJy...
Google Podcast: https://www.google.com/podcasts?feed=...
Apple Podcasts: https://itunes.apple.com/us/podcast/k...
Anchor: https://anchor.fm/kacperszurek/

Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym.
Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony.
Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawowitego właściciela danego konta.
Dlaczego te metody nie są wystarczające w dzisiejszym świecie?

Jak można uzyskać dane do logowania do czyjegoś konta?
Najprościej przy pomocy phishingu.

Phishing polega na podszywaniu się pod kogoś lub coś zazwyczaj w celu uzyskania korzyści materialnych.
Tworzy się więc kopie stron bankowych, które wyglądają praktycznie tak samo jako oryginały i czeka aż potencjalna ofiara zaloguje się na nie swoimi danymi.
Wtedy to tak pozyskane informacje trafiają do rąk złodzieja i mogą zostać przez niego wykorzystane do zalogowania się na prawidłowej stronie banku.

Stąd też pomysł dwuskładnikowego potwierdzania transakcji, który funkcjonuje niemal w każdym banku.
W przeszłości karta kodów zawierała kilkanaście ponumerowanych kodów.
W ostatniej fazie potwierdzania przelewu system losowo wybiera jeden z numerów jeszcze nie wykorzystanych przez klienta i prosi o przepisanie odpowiedniej kombinacji cyfr.
Klient zdrapuje wtedy odpowiednie pole, przepisuje odpowiednią kombinację i zleca wykonanie przelewu.

Przestępcy zauważyli, że aby włamywanie się na konta miało sens - oprócz haseł muszą także pozyskać liczby z kart zdrapek.
Zaczęli wiec na swoich stronach phishingowych prosić niczego nieświadome osoby o przepisanie konkretnych kodów z fizycznych kart.
Tutaj uwidacznia się bowiem wada systemu wykorzystywania jednorazowych kodów.
Każdy nieużyty ciąg znaków mógł bowiem potwierdzić dowolną transakcję na dowolną kwotę.

Obecnie większość z nas podczas zlecania przelewu otrzymuje od banku wiadomość tekstową wraz z unikalnym kodem który może potwierdzić tylko tą jedną transakcję.
Co więcej - w smsie zazwyczaj widoczna jest kwota przelewu a także numer konta odbiorcy.
Tym razem każdy kod jest unikalny i powiązany z jedną konkretną operacją.
Atakujący nie może zatem pozyskiwać takich kodów na przyszłość z myślą wykorzystania ich w dogodnej chwili.

Wszystko gra i działa. Prawda? Nie do końca.
Po przechwyceniu danych do logowania atakujący wykorzystuje je do zalogowania się na stronę banku.
W tym momencie na stronie phishingowej niczego nieświadoma ofiara widzi klepsydrę i czeka na logowanie.
Potem przestępca zleca przelew na kontrolowane przez siebie konto.
W tym momencie bank wysyła do swojego klienta kod SMS, mający potwierdzić daną transakcję.
Teraz klientowi wyświetla się informacja iż w celu ukończenia logowania musi je potwierdzić wpisując otrzymany kod SMS.
W idealnym scenariuszu klient powinien przeczytać treść wiadomości i zauważyć, że coś się tutaj nie zgadza.
W rzeczywistości jednak niewiele osób czyta te wiadomości a tylko przepisuje kod w nich zawarty.

Coraz częściej możemy usłyszeć o ataku SIM SWAP, w którym to używany jest duplikat naszej karty SIM.
Na czym polega ten przekręt i dlaczego jest tak niebezpieczny?
Każdy telefon komórkowy do swojego działania potrzebujemy karty SIM.
W niej to zapisane są wszystkie informację potrzebne operatorowi telekomunikacyjnemu do zweryfikowania naszych uprawnień do posługiwania się konkretnym numerem telefonu.
Zdarza się że karty SIM gubią się lub też zostają zniszczone i przestają działać.
W takiej sytuacji każdy użytkownik może zwrócić się do swojego operatora z prośba o wydanie duplikatu karty.
Wszystkie wiadomości i połączenia są od teraz przekierowywane na nową kartę SIM.
Również SMSy potwierdzające nasze przelewu przychodzą na nasz numer telefonu.
Wszystkie wiadomości - w tym te pochodzące od banku trafią nie do naszego telefonu ale do jego telefonu.

Najnowszym podejściem do tematu jest wykorzystanie specjalnych aplikacji na naszym telefonie komórkowym.
Wtedy do podczas potwierdzania transakcji - potwierdzamy ją z poziomu ekranu aplikacji.
Czym takie rozwiązanie różni się od poprzedniego?
Po pierwsze cały ruch pomiędzy naszą aplikacją a serwerem jest szyfrowany - to znaczy nie może zostać w łatwy sposób podsłuchany.
Po drugie nawet jeżeli ktoś wyrobi duplikat karty - aplikacja powiązana jest z naszym telefonem a nie z naszym numerem.
To znaczy - że potwierdzenia transakcji dalej będą przychodzić na nasz telefon nawet gdy ktoś wyrobi duplikat naszej karty.

#podcast #bankowość #simswap