کلاه برداری سیم سواپ SIM Swap Scam
کلاه برداری سیم سواپ یا SIM Swap Scam چیست؟
کلاه برداری سیم سواپ (SIM Swap Scam) یا تعویض سیم کارت، عنوان نوعی روش فریبکارانه برای تصاحب، در اختیار گرفتن یا ورود به یک حساب و دسترسی به اطلاعات یک فرد است که معمولا در آن، سیستم های احراز هویت دو گامی (Two-step Verification) که گام دوم آنها مبتنی بر ارسال کد از طریق پیامک یا تماس تلفنی است مورد هدف قرار میگیرد.
در این نوع حمله یا کلاه برداری، از قابلیت انتقال پیامک ها و تماسهای تلفنی به شماره سیم کارت های دیگر استفاده میشود. این ویژگی که معمولا توسط اغلب فراهم کنندگان سرویس (یا اپراتور) های همراه قابل ارائه است در شرایط عادی به درخواست مشترک هنگام سرقت یا گم شدن گوشی و سیم کارت به کار میرود و از آن به عنوان راهکاری موقت برای دریافت پیام ها و تماسهایی استفاده میشود که به مقصد سیم کارت اصلی برقرار شده است.
با گسترش استفاده از خطوط همراه و پیامک ها به عنوان راهی آسان برای احراز هویت در سامانه های بانکی و حساب های کاربری مختلف، در سالهای اخیر میزان حملات تعویض سیم کارت با افزایش قابل توجهی روبرو شده است. جالب است بدانید تاکنون حساب های کاربری افراد مختلفی با کمک حملات SIM Swap هک شده است که در میان معروفترین آنها میتوان به هک شدن حساب کاربری توئیتر جک دورسی (Jack Dorsey) مدیرعامل توئیتر در سال 2019 اشاره کرد.
فارغ از اهمیت این موضوع در مورد احراز هویت دو گامی، ممکن است برخی از سرویس ها در موارد فراموشی رمزهای عبور، رمز عبور جدید یا لینک تغییر آن را از طریق پیامک برای کاربر ارسال کنند. در چنین حالتی نیز احتمال موفقیت سواپ سیم کارت برای ورود به حساب کاربری بالاتر میرود.
حمله سیم سواپ چگونه اتفاق میافتد؟
در سیم سواپ، فرد کلاه بردار ابتدا به جمع آوری اطلاعات شخصی مفیدی نظیر نام و نام خانوادگی، تاریخ تولد و … پیرامون فرد قربانی میپردازد. این اطلاعات ممکن است با روشهای مختلفی نظیر جستجو در اینترنت و داکسینگ، خرید اطلاعات از منابع زیرزمینی، گفتگو با دوستان و آشنایان قربانی و حتی کسب اطلاعات از شخص قربانی (با کمک راهکارهای مهندسی اجتماعی)، استفاده از روشهای فیشینگ (تکمیل یک فرم به ظاهر قانونی در سایتی جعلی که مشابه با نمونه اصلی طراحی شده) و … در اختیار کلاه بردار قرار بگیرد.
پس از کسب این اطلاعات، کلاه بردار با سرویس دهنده تلفن همراه قربانی تماس گرفته و پس از معرفی خود به عنوان مالک سیم کارت با ادعای خرابی یا مفقودی سیم کارت و نگرانی بابت از دست دادن تماس های مهم خود، تلاش میکند اپراتور را به انتقال تماس ها و پیامک ها به شماره دیگری که متعلق به خودش میباشد متقاعد کند. در بسیاری از موارد نیز اپراتور سرویس دهنده با مطرح نمودن پرسشهایی شخصی درصدد اطمینان از هویت فرد برمیآید که با توجه به مرحله پیشین، احتمالا کلاه بردار با موفقیت از عهده پاسخ به آنها برمیآید.
به این ترتیب در صورت موفقیت، از این پس تمامی تماس ها و پیامک های ارسال شده برای شماره قربانی توسط فرد کلاه بردار دریافت میشود و درنتیجه به کلیه رمزهای عبور یک بار مصرف یا اطلاعات حساسی که تاکنون از این طریق برای قربانی ارسال میشده دسترسی پیدا میکند.
راه های مقابله با سواپ سیم کارت
انتخاب سرویس دهنده همراه معتبر
بسیاری از ارائه کنندگان خدمات همراه برای جلوگیری از بروز مشکلات مشابه، پس از ثبت درخواست انتقال شماره با ارسال اطلاعیهای برای مالک شماره اصلی از او میخواهند نسبت به تأیید درخواست انتقال اقدام نماید. هرچند این موضوع به طور کامل نمیتواند از بروز چنین حملاتی جلوگیری کند اما میتواند تا حدودی مفید واقع شود؛ به خصوص اگر این تأیید با کمک یک پین کد اختیاری که در گذشته توسط کاربر فعال شده است محافظت شده باشد. البته این نکته را هم در نظر داشته باشید با وجود این محکم کاری، باز هم ممکن است کلاه بردار با فریب فرد قربانی، او را برای تأیید انتقال ارتباطات متقاعد کند یا سرویس دهنده به دلیل عدم دریافت پاسخ از سمت قربانی در زمان مناسب، فرایند انتقال را تأیید کند.
فاکتورها و گام های جایگزین برای احراز هویت
علاوه بر انتخاب سرویس دهنده معتبر و قابل اعتماد، به کاربران توصیه میشود در صورت امکان از روشهای جایگزین به عنوان بخش دوم در یک سیستم احراز هویت دو عاملی یا دو گامی استفاده کنند. به عنوان مثال، اپلیکیشن های احرازکننده هویت نظیر Google Authenticator میتوانند گزینه مناسبی به جای دریافت کدهای یک بار مصرف از طریق پیامک به شمار بیایند. این اپلیکیشن ها قادر هستند بدون نیاز به صرف هزینه برای خرید دستگاه مجزا کدهای یک بار مصرفی تولید کنند که برای مقاصد احراز هویت به کار گرفته میشود و در عین حال نه تنها حملات سیم سواپ را ناکام میگذارند بلکه برخلاف پیامک های رمزنگاری نشده احتمال استراق سمع را نیز کاهش میدهند.
حفاظت از اطلاعات شخصی مهم
همانطور که گفته شد فرد کلاه بردار برای متقاعد کردن سرویس دهنده همراه معمولا نیاز به ارائه اطلاعات شخصی شما از قبیل نام و نام خانوادگی، نام پدر، شماره شناسایی یا کد ملی، تاریخ تولد و … خواهد داشت. بنابراین توصیه میشود از تکمیل فرمهایی که در سایت های نامعتبر از شما اطلاعات شخصیتان را درخواست میکنند یا ارائه این اطلاعات در پیامهای ناشناس ایمیلی و همچنین انتشار آنها در شبکه های اجتماعی و … خودداری کنید.
اقدام به موقع
اگر با پیامی از سوی سرویس دهنده همراه خود روبرو شدید که از شما میخواهد انتقال مکالمات به شمارهای دیگر را تأیید کنید بهتر است آن را نادیده نگیرید چرا که ممکن است این بیتفاوتی شما از طرف سرویس دهنده به منزله گم شدن سیم کارت تلقی شود و فرد کلاه بردار به خواسته خود برسد.
هرچند پیشگیری بهترین راه برای مقابله با این نوع حملات است اما اگر در دام آن گرفتار شدهاید نباید فرصت را از دست بدهید. توجه داشته باشید با وجود این که کد یک بار مصرف ارسالی معمولا نقش گام دوم احراز هویت را ایفا میکند و در اختیار داشتن آن به تنهایی مجوزی برای ورود به حساب کاربری شما نیست اما فراموش نکنید ممکن است این حمله توسط فردی رقم خورده باشد که رمز عبور شما را از قبل در اختیار داشته است.
اگر ارتباطات شما به شماره دیگری منتقل شده باشد و در معرض حمله سیم سواپ قرار گرفته باشید احتمالا با سیم کارت فعلیتان قادر به برقراری ارتباط روی شبکه نخواهید بود. بنابراین اگر با چنین وضعیتی روبرو شدید بهتر است در سریعترین زمان ممکن، مشکل را از طرف سرویس دهنده همراه خود پیگیری کنید. در صورتی که این روش به اندازه کافی سریع نیست و احتمال میدهید فرد متجاوز عملکرد سریعتری داشته باشد بهتر است هرچه سریعتر ارتباط حساب های کاربری حساس (مثل حساب بانکی یا ایمیل) خود را از شماره موردنظر جدا کنید و نسبت به تغییر رمز عبور خود نیز اقدام کنید.
پیوندهای پیشنهادی تک دیک
با سلام و عرض ادب
با نصب برنامه کنترل والدین و یا Spy24 که فقط نیاز هست IMEI گوشی طرف رو داشت هم میشه بدون دسترسی به گوشی طرف مقابل کنترل رو دست خودمون بگیریم ،سوال من اینه در صورت افتادن چنین اتفاقی چه جوری میشه جلوی این افراد رو گرفت اگر نخواهیم گوشی رو عوض کنیم ممنون از وب سایت خوبی که دازید کاش زودتر من با وب سایت شما آشنا شده بودم
سلام وقت شما بخیر. راستش سوال تون رو میشه چند برداشت مختلف ازش کرد. ولی برنامه های کنترل والدین و اصولا هر نرم افزار کنترل از راه دور نیازمند این هستش که نسخه ای از اپلیکیشن که وظیفه پاسخ به درخواست های از راه دور رو برعهده داره روی دستگاه هدف نصب شده باشه. بنابراین با صرف داشتن کد IMEI گوشی، امکان کنترل دستگاه وجود نداره. برای جلوگیری از این اتفاقات طبیعتا اپ های نصب شده و دسترسی هاشونو کنترل کنید و هرگز اجازه ندین گوشی تون بدون حضور و نظارت خودتون در اختیار کسی قرار بگیره یا حافظه ای بهش متصل بشه (پین کد یا سایر روش های امنیتی برای باز کردن گوشی رو فعال کنید تا در صورت نبودن خودتون کسی نتونه به گوشی دسترسی داشته باشه. با این حال باز هم گوشی رو با افراد غریبه تنها نگذارید). نصب اپلیکیشن ها از منابع غیرمعتبر رو هم غیرفعال کنید و در عین حال هر فایلی که مطمئن نیستید چه از طریق ایمیل چه از طریق سایر روش ها باز نکنید تا از نصب نبودن اپ های جاسوسی یا کنترلی خیالتون راحت باشه.