کلاه برداری سیم سواپ SIM Swap Scam

کلاه برداری سیم سواپ یا SIM Swap Scam چیست؟

کلاه برداری سیم سواپ (SIM Swap Scam) یا تعویض سیم کارت، عنوان نوعی روش فریبکارانه برای تصاحب، در اختیار گرفتن یا ورود به یک حساب و دسترسی به اطلاعات یک فرد است که معمولا در آن، سیستم های احراز هویت دو گامی (Two-step Verification) که گام دوم آن‌ها مبتنی بر ارسال کد از طریق پیامک یا تماس تلفنی است مورد هدف قرار می‌گیرد.

در این نوع حمله یا کلاه برداری، از قابلیت انتقال پیامک ها و تماس‌های تلفنی به شماره سیم کارت های دیگر استفاده می‌شود. این ویژگی که معمولا توسط اغلب فراهم کنندگان سرویس (یا اپراتور) های همراه قابل ارائه است در شرایط عادی به درخواست مشترک هنگام سرقت یا گم شدن گوشی و سیم کارت به کار می‌رود و از آن به عنوان راهکاری موقت برای دریافت پیام ها و تماس‌هایی استفاده می‌شود که به مقصد سیم کارت اصلی برقرار شده است.

با گسترش استفاده از خطوط همراه و پیامک ها به عنوان راهی آسان برای احراز هویت در سامانه های بانکی و حساب های کاربری مختلف، در سال‌های اخیر میزان حملات تعویض سیم کارت با افزایش قابل توجهی روبرو شده است. جالب است بدانید تاکنون حساب های کاربری افراد مختلفی با کمک حملات SIM Swap هک شده است که در میان معروف‌ترین آن‌ها می‌توان به هک شدن حساب کاربری توئیتر جک دورسی (Jack Dorsey) مدیرعامل توئیتر در سال 2019 اشاره کرد.

فارغ از اهمیت این موضوع در مورد احراز هویت دو گامی، ممکن است برخی از سرویس ها در موارد فراموشی رمزهای عبور، رمز عبور جدید یا لینک تغییر آن را از طریق پیامک برای کاربر ارسال کنند. در چنین حالتی نیز احتمال موفقیت سواپ سیم کارت برای ورود به حساب کاربری بالاتر می‌رود.

حمله سیم سواپ چگونه اتفاق می‌افتد؟

در سیم سواپ، فرد کلاه بردار ابتدا به جمع آوری اطلاعات شخصی مفیدی نظیر نام و نام خانوادگی، تاریخ تولد و … پیرامون فرد قربانی می‌پردازد. این اطلاعات ممکن است با روش‌های مختلفی نظیر جستجو در اینترنت و داکسینگ، خرید اطلاعات از منابع زیرزمینی، گفتگو با دوستان و آشنایان قربانی و حتی کسب اطلاعات از شخص قربانی (با کمک راهکارهای مهندسی اجتماعی)، استفاده از روش‌های فیشینگ (تکمیل یک فرم به ظاهر قانونی در سایتی جعلی که مشابه با نمونه اصلی طراحی شده) و … در اختیار کلاه بردار قرار بگیرد.

پس از کسب این اطلاعات، کلاه بردار با سرویس دهنده تلفن همراه قربانی تماس گرفته و پس از معرفی خود به عنوان مالک سیم کارت با ادعای خرابی یا مفقودی سیم کارت و نگرانی بابت از دست دادن تماس های مهم خود، تلاش می‌کند اپراتور را به انتقال تماس ها و پیامک ها به شماره دیگری که متعلق به خودش می‌باشد متقاعد کند. در بسیاری از موارد نیز اپراتور سرویس دهنده با مطرح نمودن پرسش‌هایی شخصی درصدد اطمینان از هویت فرد برمی‌آید که با توجه به مرحله پیشین، احتمالا کلاه بردار با موفقیت از عهده پاسخ به آن‌ها برمی‌آید.

به این ترتیب در صورت موفقیت، از این پس تمامی تماس ها و پیامک های ارسال شده برای شماره قربانی توسط فرد کلاه بردار دریافت می‌شود و درنتیجه به کلیه رمزهای عبور یک بار مصرف یا اطلاعات حساسی که تاکنون از این طریق برای قربانی ارسال می‌شده دسترسی پیدا می‌کند.

کلاه برداری سیم سواپ SIM Swap Scam
در کلاه برداری SIM Swap، فرد متجاوز تلاش می‌کند در ارتباطی که با سرویس دهنده همراه شما برقرار می‌کند خودش را به جای شما معرفی کند و سرویس دهنده را به انتقال تماس و پیامک های شما به شماره خودش متقاعد کند.

راه های مقابله با سواپ سیم کارت

انتخاب سرویس دهنده همراه معتبر

بسیاری از ارائه کنندگان خدمات همراه برای جلوگیری از بروز مشکلات مشابه، پس از ثبت درخواست انتقال شماره با ارسال اطلاعیه‌ای برای مالک شماره اصلی از او می‌خواهند نسبت به تأیید درخواست انتقال اقدام نماید. هرچند این موضوع به طور کامل نمی‌تواند از بروز چنین حملاتی جلوگیری کند اما می‌تواند تا حدودی مفید واقع شود؛ به خصوص اگر این تأیید با کمک یک پین کد اختیاری که در گذشته توسط کاربر فعال شده است محافظت شده باشد. البته این نکته را هم در نظر داشته باشید با وجود این محکم کاری، باز هم ممکن است کلاه بردار با فریب فرد قربانی، او را برای تأیید انتقال ارتباطات متقاعد کند یا سرویس دهنده به دلیل عدم دریافت پاسخ از سمت قربانی در زمان مناسب، فرایند انتقال را تأیید کند.

فاکتورها و گام های جایگزین برای احراز هویت

علاوه بر انتخاب سرویس دهنده معتبر و قابل اعتماد، به کاربران توصیه می‌شود در صورت امکان از روش‌های جایگزین به عنوان بخش دوم در یک سیستم احراز هویت دو عاملی یا دو گامی استفاده کنند. به عنوان مثال، اپلیکیشن های احرازکننده هویت نظیر Google Authenticator می‌توانند گزینه مناسبی به جای دریافت کدهای یک بار مصرف از طریق پیامک به شمار بیایند. این اپلیکیشن ها قادر هستند بدون نیاز به صرف هزینه برای خرید دستگاه مجزا کدهای یک بار مصرفی تولید کنند که برای مقاصد احراز هویت به کار گرفته می‌شود و در عین حال نه تنها حملات سیم سواپ را ناکام می‌گذارند بلکه برخلاف پیامک های رمزنگاری نشده احتمال استراق سمع را نیز کاهش می‌دهند.

حفاظت از اطلاعات شخصی مهم

همان‌طور که گفته شد فرد کلاه بردار برای متقاعد کردن سرویس دهنده همراه معمولا نیاز به ارائه اطلاعات شخصی شما از قبیل نام و نام خانوادگی، نام پدر، شماره شناسایی یا کد ملی، تاریخ تولد و … خواهد داشت. بنابراین توصیه می‌شود از تکمیل فرم‌هایی که در سایت های نامعتبر از شما اطلاعات شخصی‌تان را درخواست می‌کنند یا ارائه این اطلاعات در پیام‌های ناشناس ایمیلی و همچنین انتشار آن‌ها در شبکه های اجتماعی و … خودداری کنید.

اقدام به موقع

اگر با پیامی از سوی سرویس دهنده همراه خود روبرو شدید که از شما می‌خواهد انتقال مکالمات به شماره‌ای دیگر را تأیید کنید بهتر است آن را نادیده نگیرید چرا که ممکن است این بی‌تفاوتی شما از طرف سرویس دهنده به منزله گم شدن سیم کارت تلقی شود و فرد کلاه بردار به خواسته خود برسد.

هرچند پیشگیری بهترین راه برای مقابله با این نوع حملات است اما اگر در دام آن گرفتار شده‌اید نباید فرصت را از دست بدهید. توجه داشته باشید با وجود این که کد یک بار مصرف ارسالی معمولا نقش گام دوم احراز هویت را ایفا می‌کند و در اختیار داشتن آن به تنهایی مجوزی برای ورود به حساب کاربری شما نیست اما فراموش نکنید ممکن است این حمله توسط فردی رقم خورده باشد که رمز عبور شما را از قبل در اختیار داشته است.

اگر ارتباطات شما به شماره دیگری منتقل شده باشد و در معرض حمله سیم سواپ قرار گرفته باشید احتمالا با سیم کارت فعلی‌تان قادر به برقراری ارتباط روی شبکه نخواهید بود. بنابراین اگر با چنین وضعیتی روبرو شدید بهتر است در سریع‌ترین زمان ممکن، مشکل را از طرف سرویس دهنده همراه خود پیگیری کنید. در صورتی که این روش به اندازه کافی سریع نیست و احتمال می‌دهید فرد متجاوز عملکرد سریع‌تری داشته باشد بهتر است هرچه سریعتر ارتباط حساب های کاربری حساس (مثل حساب بانکی یا ایمیل) خود را از شماره موردنظر جدا کنید و نسبت به تغییر رمز عبور خود نیز اقدام کنید.

پیوندهای پیشنهادی تک دیک

لینک واژه در ویکیپدیا

امیرحسین شهسواری

عاشق دنیای رایانه و فناوری به خصوص برنامه نویسی هستم؛ یادگرفتن و البته یاد دادن چیزای جالبی که یاد گرفتم باعث خوشحالیم میشه و از اولویت‌های اصلی زندگیم به حساب میاد. از مدیریت و نوشتن در تک دیک هم واقعا لذت می‌برم :)

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *