A SIM swap csalás egy összetett módszer, amellyel a csalók megszerzik az irányítást az áldozat telefonszáma felett – anélkül, hogy fizikailag ellopnák a telefont. Miért veszélyes ez? Mert a bankok többsége a tranzakciók jóváhagyásához vagy a belépéshez használt második faktorú kódokat a telefonunkra (SMS-ben vagy értesítésben) küldi. Ha a telefonszámunk a támadó kezébe kerül, a banki SMS-ek is oda futnak be, így az általunk nem ismert támadó hozzáférhet a fiókunkhoz.
A SIM-cserés támadás lépései tipikusan a következők :
- Adatgyűjtés: Először a csalók valamilyen módon (adathalászat, közösségi média, korábbi adatszivárgás, kémprogram) megszerzik a személyes adatainkat: nevünket, születési dátumot, lakcímet, anyja neve, esetleg banki ügyfélszám, telefonszám, stb. . Ezek azért kellenek, hogy hitelesen ki tudják magukat adni nekünk a szolgáltatóknál.
- Telekom szolgáltatónál történő visszaélés: Ezután a támadó felkeresi a mobilszolgáltatónkat. A megszerzett adatokkal megszemélyesíti az áldozatot, és bejelenti, hogy SIM-kártya cserét kér (pl. “elvesztettem a telefonom, új SIM kell”, vagy “új, kisebb SIM kell a telefonomhoz”). Ha sikerrel jár, a szolgáltató kiad neki egy új SIM-et, ami aktiválja a mi telefonszámunkat . Ezzel egyidőben a mi régi SIM-kártyánk természetesen deaktiválódik, térerő nélkül marad.
- Banki hozzáférés átvétele: Mivel a telefonszámunk már a csalónál van (az új SIM formájában), minden oda érkező SMS-t ő kap meg. Így amikor a korábban kicsalt netbank azonosítókkal belépne (vagy jelszó-visszaállítást kezdeményez), a bank által küldött egyszer használatos kódot is megszerzi . Ezzel gyakorlatilag átveszi a fiókunk feletti irányítást, tranzakciókat indíthat, és mire mi észbe kapunk (hogy “nincs térerő, nem működik a telefonom”), már késő lehet.
A védekezés és hiányosságok: Ez a támadás azért alattomos, mert az ügyfél részéről nehezen észlelhető – nem is tudunk róla, míg egyszer csak a telefonunk “néma” nem lesz. A megelőzésben a telekom szolgáltatók felelőssége nagy: egyre szigorúbb azonosítási protokollokat vezetnek be a SIM-csere ügyintézéshez (pl. személyi igazolvány, arcképes azonosítás, jelszó alkalmazása a fiókon). A Magyar Telekom például jelezte, hogy szigorították a folyamatot, pont az ilyen csalások kivédése érdekében . Az ügyfélként, amit tehetünk: beállíthatunk extra jelszót a szolgáltatónál az ügyintézéshez, és figyelhetjük a gyanús jeleket (pl. kapunk-e előzetes SMS értesítést a szolgáltatótól a SIM-csere kérelemről – ilyenkor azonnal jelezzük, ha nem mi kezdeményeztük!). Emellett jó, ha a banknál elérhető alternatív értesítési módokat is aktiváljuk (pl. push notifikációs jóváhagyás az SMS helyett, ahol van ilyen).