How to, Διαδικτυακές απειλές, Διαδίκτυο, Τεχνολογία

SIM swapping: Πόσο πραγματικά κινδυνεύετε και πρέπει να κάνετε

Από τον Παντελή Ταμπακόπουλο,

 

SIM swapping ή αλλιώς SIM swap scam, port-out scam, SIM splitting και simjacking (wikipedia).  Η «νέα» απάτη, σύμφωνα με την Ελληνική Αστυνομία, τους τελευταίους 6 μήνες κερδίζει έδαφος και στην χώρα μας, η οποία τελικά μόνο νέα δεν είναι!

Χαρακτηριστικά, με την απόφαση 140/2017, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα επέβαλε διοικητικό πρόστιμο ύψους 2.000 ευρώ σε εταιρεία κινητής τηλεφωνίας για παραβίαση των διατάξεων σχετικά με το απόρρητο και την ασφάλεια της επεξεργασίας προσωπικών δεδομένων (άρθρο 10 Ν. 2472/1997). Σύμφωνα με την απόφαση, η εταιρεία δεν εφάρμοσε κατάλληλα οργανωτικά μέτρα ασφάλειας σε περίπτωση ταυτοποίησης συνδροµητή, µε αποτέλεσµα περιστατικό παραβίασης προσωπικών δεδοµένων τύπου SIM swapping.

Επειδή με ρωτούν πολλοί φίλοι και γνωστοί σχετικά γιατί ακούγονται ΠΟΛΛΑ έως ΠΑΡΑ ΠΟΛΛΑ από ΠΟΛΛΟΥΣ «ειδικούς» επί του θέματος, με αποτέλεσμα να δημιουργείται  πανικός στον απλό κόσμο, ενώ τα πράγματα δεν είναι ακριβώς έτσι! Καλό είναι να είμαστε προσεκτικοί αλλά και φειδωλοί (να κρατάμε μικρό καλάθι) και με απλά λόγια θα εξηγήσω πόσο εύκολο ή δύσκολο είναι να μας αποσπάσει κάποιος χρήματα από τον τραπεζικό μας λογαριασμό με αυτήν την μέθοδο.

Λίγα λόγια για το… έργο:

Οι δράστες χρησιμοποιούν την δυνατότητα των εταιρειών-παρόχων κινητής τηλεφωνίας για αντικατάσταση της κάρτας SIM στην περίπτωση απώλειας,  καταστροφής ή ακόμη και αντικατάστασης λόγω μεγέθους της (nano-sim), πράγμα σύνηθες στην μετάβαση από ένα παλιό σε ένα τελευταίας τεχνολογίας κινητό. Παρουσιάζονται, λοιπόν, σε ένα κατάστημα κινητής τηλεφωνίας του παρόχου σας και πλαστοπροσωπώντας σας (συνήθως με ψεύτικη εξουσιοδότηση ή πλαστή ταυτότητα) ζητούν μια νέα κάρτα SIM, την οποία τοποθετούν σε ένα δικό τους τηλέφωνο.

Στην συνέχεια με την ενεργοποίηση της νέας κάρτα SIM, η παλιά αυτόματα απενεργοποιείται και υπηρεσίες όπως κλήσεις, SMS, πρόσβαση στο διαδίκτυο κ.λπ, πραγματοποιούνται εφεξής από την καινούργια που λειτουργεί με τον ίδιο αριθμό.

Στόχος του δράστη είναι να εκτελέσει συναλλαγές από το e-banking του θύματος, εκμεταλλευόμενος την δυνατότητα ελέγχου ταυτότητας με sms επιβεβαίωσης το οποίο λαμβάνει πλέον από την τράπεζα στο κινητό του. ΒΑΣΙΚΗ ΠΡΟΥΠΟΘΕΣΗ για όλα τα παραπάνω είναι ο δράστης να έχει στην κατοχή του τους  κωδικούς του e-banking αλλά και τα προσωπικά στοιχεία του θύματος, (συνήθως μέσω ενός ηλεκτρονικού μηνύματος “ψαρέματος” (phishing), μέσω κακόβουλου λογισμικού (trojan/malware) που έχει εγκαταστήσει στη συσκευή ή τον προσωπικό υπολογιστή του θύματος ή ακόμη να τα γνωρίζει και από το ίδιο το θύμα, όπως θα δούμε παρακάτω).

Τι πρέπει να προσέχετε:

  1. Προσοχή στα email όπου σας ζητούν να γράψετε τους κωδικούς σας με το πρόσχημα κάποιου προβλήματος της τράπεζας. Οι τράπεζες ΠΟΤΕ δεν θα σας ζητήσουν κωδικούς μέσω διαδικτύου. Εάν έχετε τον παραμικρό ενδοιασμό επικοινωνήστε με την τράπεζα που συνεργάζεστε.
  2. Χρησιμοποιείτε μοναδικούς, ισχυρούς κωδικούς πρόσβασης και ισχυρές ερωτήσεις-απαντήσεις που μόνο εσείς γνωρίζετε, για τους λογαριασμούς και τις συναλλαγές σας.
  3. Εφαρμόστε έλεγχο ταυτότητας δύο παραγόντων ή ακόμη και χρήση ξεχωριστού κωδικού πρόσβασης για τις επικοινωνίες σας, εφόσον ο πάροχος σας έχει αυτήν την δυνατότητα.
  4. Εκμεταλλευτείτε την δυνατότητα των ειδοποιήσεων, κυρίως για τις τραπεζικές σας συναλλαγές στον email σας, ώστε να αναγνωρίσετε περίεργη δραστηριότητα.
  5. Απενεργοποιείστε την αποθήκευση κωδικών στον περιηγητή σας (Firefox, Chrome Microsoft edge κ.λπ) και μην δανείζετε τον υπολογιστή μέσω του οποίου εκτελείτε τραπεζικές συναλλαγές σε ΚΑΝΕΝΑ!
  6. Σε περίπτωση που πάτε τον υπολογιστή σας για επισκευή (ακόμη και σε γνωστό σας), διαγράψτε τυχόν αποθηκευμένους κωδικούς, που έχετε στον σκληρό σας δίσκο.
  7. Προμηθευτείτε, εγκαταστήστε και χρησιμοποιείστε ένα έγκριτο internet security λογισμικό. Τα σοβαρά internet security λογισμικά διαθέτουν την δυνατότητα λειτουργίας τραπεζικών συναλλαγών σε ασφαλές περιβάλλον.

Τέλος, να γνωρίζετε ότι με λίγη προσοχή, σοβαρότητα, εγρήγορση και χωρίς πανικό, μπορείτε να είσαστε προστατευμένοι σε μεγάλο βαθμό και έτσι να αποφύγετε επικίνδυνους ηλεκτρονικούς ατραπούς ασφάλειας των λογαριασμών σας και της ταυτότητάς σας.