Ці нелегальні SIM-карти роблять зломи простішими, ніж Twitter

Наступного разу, коли ваш телефон дзвонить і ID абонента повідомляє, що це ваш банк, телекомунікаційна компанія чи ІТ-відділ роботодавця, це може бути хтось інший.

Це тому, що мало обговорювані типи SIM-карт пропонують можливість підробити будь-який номер, можуть бути зашифровані та в деяких випадках дозволяють змінювати та маскувати голос користувача. Такі SIM-карти є на користь злочинців, і вони можуть зробити атаки соціальної інженерії, як ті, що вразили Twitter минулого місяця, легшими для виконання.

SIM-карта (модуль ідентифікації абонента) — це, по суті, те, що зберігає інформацію про користувача телефону, включаючи країну, постачальника послуг та унікальну ідею, яка відповідає його власнику.

Хоча підробка телефонного номера є старим трюком, ці SIM-карти пропонують спрощений спосіб це зробити. Вони підкреслюють широкий спектр уразливостей, з якими стикаються компанії та окремі особи, намагаючись захиститися від атак соціальної інженерії.

Twitter був жертва телефонної атаки spear-phishing, в якому особа, яка представляється інсайдером компанії (часто нібито з IT-відділу), дзвонить справжньому співробітнику, щоб отримати інформацію. Ця атака, яка призвела до захоплення 130 облікових записів, у тому числі таких гучних, як ELON Маск і Каньє Вест, з метою виманити їхніх послідовників на 120 000 доларів США. Bitcoin, привернув підвищену увагу до практики. Такі інструменти, як ці SIM-карти, є ONE із способів для зловмисників спробувати випередити підозрювані компанії.

Дивіться також: «Крипто Instagram» стає справою, шахрайство та інше

«Інші компанії можуть бути більш м’якою мішенню для тих самих методів», — сказала Еллісон Ніксон, головний науковий співробітник Unit221B, фірми з кібербезпеки. «І вони просто не будуть готові так само, як телекомунікаційні компанії, які зазнали поранених битв».

Дійсно, після злому Twitter так і сталося повідомляється почастішали фішингові атаки на компанії, приватних осіб і біржі Криптовалюта .

Білі сімки

Картки відомі як білі SIM-карти через їхній колір і відсутність фірмових знаків.

«Білі SIM-карти надзвичайно спрощують вихідні підроблені дзвінки», — сказав Гартей Соні, директор агентства з кібербезпеки Zokyo. «Вони фактично скрізь незаконні».

Враховуючи широкий спектр послуг, такі SIM-карти пропонують, вони трохи спрощують соціальну інженерію, і іноді це все, що потрібно зловмиснику. SIMS зазвичай можна купити на Dark Web або пов’язані сайти, використовуючи Bitcoin.

Соціальна інженерія часто покладається на те, що зловмисник обманом змушує когось робити те, що йому чи їй T слід. Це може виглядати так само просто, як фішингова атака, але також може включати більш складні засоби, такі як заміна SIM-карти, голосовий спуфінг або тривалі телефонні розмови, щоб отримати доступ до чиєїсь інформації чи даних.

Дивіться також: Студент отримує 10 років тюремного ув'язнення за крадіжки Крипто на суму 7,5 мільйонів доларів

Протягом багатьох років співтовариство Криптовалюта було мета обміну SIM, підмножина соціальної інженерії. Це полягає в тому, що зловмисник обманює співробітника телекомунікаційної компанії, змушуючи його перенести номер жертви на пристрій зловмисника, що дозволяє йому обійти захист двофакторної автентифікації в обліковому записі Exchange або профілі в соціальних мережах.

"Підробні виклики є недоліком на рівні протоколу, і це не те, що можна виправити за одну ніч. Це вимагає фактично переписування Інтернету", - сказав Соні. «Що цікаво відзначити, так це те, що 99% співробітників телекомунікацій мають доступ до всіх облікових записів клієнтів, тобто вам потрібно створити соціальну інженерію лише для ONE з них».

Ці SIM-карти створюють проблеми для тих, хто працює над захистом від соціальної інженерії, включаючи банки та інші фінансові установи.

Бізнес як будь-який інший

За словами Пол Уолша, генерального директора компанії з кібербезпеки MetaCert, зловмисники, які займаються соціальною інженерією, обирають свої цілі, зважуючи гроші, час і зусилля, необхідні для їх обману, і виграш.

«Простіше, дешевше та швидше скомпрометувати людину за допомогою соціальної інженерії, ніж спробувати скористатися перевагами комп’ютера чи комп’ютерної мережі», — сказав Волш. «Тому будь-які інструменти чи процеси, подібні до цих, які роблять цю роботу швидшою та легшою для них, очевидно, хороші в їхніх очах».

Здатність імітувати певний номер телефону робить ці SIM-карти небезпечними. Наприклад, абоненти, які дзвонять через спам, часто підробляють свій номер, щоб створити враження, що вони дзвонять з номер у місцевості одержувача. Але ці SIM-карти дозволяють зловмиснику підробити певний номер, що підвищує ймовірність того, що хтось відповість на дзвінок.

Дивіться також: Новий ультразвуковий хак може використовувати вашу Siri

Людина з SIM-картою, що підмінює номер, може легко імітувати номер Bank of America, наприклад, сказав Волш, що підвищує ймовірність того, що люди нададуть конфіденційну особисту інформацію. Якщо номер звучить як Bank of America, чому у вас є підстави негайно думати інакше?

Волш також сказав, що багато систем автоматично визначатимуть номер, з якого ви телефонуєте, і використовуватимуть його як частину інформації для підтвердження вашої особи.

«Тож ви телефонуєте у свій банк, і якщо можете підтвердити свій номер телефону та, можливо, ще ONE інформацію, ви отримуєте доступ до всіх видів інформації, як-от ваш банківський баланс і остання транзакція», — сказав Уолш. «Сама ця інформація може бути корисною в контексті соціальної інженерії, якщо зателефонувати в банк без додаткової інформації, необхідної для націлювання на когось, і отримати її через банк».

Технологія імітації голосу на підході

Те, що хвилює Хасіба Авана, генерального директора Efani, компанії, яка спеціально працює для захисту від злому SIM-карт, полягає в тому, як ці SIM-карти можуть використовуватися з іншими технологіями, такими як підробка голосу. Технології , за допомогою якої можна відтворити чийсь голос легко доступні в Інтернеті, а голоси людей можна відтворити лише за кількома фрагментами мови.

«Якщо ви можете відтворити чийсь голос і поєднати це з його номером телефону, це те, що мене починає хвилювати найбільше», — сказав Аван. «Багато компаній тепер використовують ваш голос як метод автентифікації, тож саме тут ризик шахрайства стане дуже високим».

Дивіться також: Північнокорейські хакери нарощують зусилля з крадіжки Крипто на тлі пандемії коронавірусу

І хоча більшість людей може подумати, що зможуть визначити, чи чийсь голос був змінений або пролунав, Аван, який народився в Пакистані, але живе в США, QUICK зазначає, що технологія стала настільки хорошою, що він бачив, як вона здатна відтворювати його акцент. насправді, ONE дослідження виявили, що наш мозок погано розрізняє фальшивий голос від ONE, навіть коли нам кажуть, що він буде фальшивим.

На відміну від майже повсюдно незаконних білих SIM-карт, зашифровані анонімні SIM-карти, які також змінюють ваш голос у режимі реального часу, можна легко придбати у відкритому доступі. Наприклад, британська компанія Безпечні Sims, який не відповів на Request про коментар до часу преси, пропонує на продаж ONE , який вимикає ваше місцезнаходження та шифрує дані, серед багатьох інших функцій.

Його виставлено на продаж за £600-£1000 ($794-$1322).