چگونه از خودمان در برابر حملات تعویض سیم‌کارت محافظت کنیم؟

بسیاری از حساب‌های کاربری اینستاگرام هک شده‌اند و یک دادخواهی ۲۲۰ میلیون دلاری بر ضد اپراتور مخابراتی AT&T به جریان افتاده است.

یک مشکل و ضعف قدیمی دوباره از سوی هکرها به کار گرفته شده و معضل جدیدی ساخته است. حملات تعویض سیم‌کارت (SIM SWAP) به هکرها اجازه می‌دهد هویت سیم‌کارت شما را سرقت و تمام زندگی‌تان را به مخاطره بیندازند.

یک حمله تعویض سیم‌کارت در ساده‌ترین شکل، اپراتور تلفن همراه شما را متقاعد می‌کند که شماره سیم‌کارت شما را به اپراتور جدید تغییر دهد. هکرها اطلاعات هویتی شما را از روی سایت‌های دیگر یافته و از آن برای سرقت و فریب اپراتور تلفن همراه استفاده می‌کنند.

وقتی اپراتور سیم‌کارت شما تغییر می‌کند؛ بسیاری از اطلاعات شما مانند پیامک‌ها و از جمله پیامک‌های احرازهویت دو مرحله‌ای به جای اینکه به دست شما برسد؛ برای تلفن همراه هکرها ارسال می‌شود و آن‌ها به راحتی می‌توانند وارد حساب‌های کاربری مالی و بانکی شما شده یا اطلاعات حساس دیگری را از روی ایمیل‌ها و شبکه‌های اجتماعی به دست بیاورند.

حملات تعویض سیم‌کارت یکی از بهترین و موثرترین روش‌ها برای تغییر و سرقت رمزعبور حساب‌های کاربری هستند.

در هفته‌های اخیر، چندین سرقت مالی و هک گسترده در دنیا اتفاق افتاده که به نظر می‌رسد با حملات تعویض سیم‌کارت پیاده‌سازی شدند. از جمله هک گسترده حساب‌های کاربری اینستاگرام یا سرقت مبلغی نزدیک به ۲۳.۸ میلیون دلار از حساب شخصی یک فرد مشهور و ثروتمند.

در سال گذشته هم چندین سلبریتی مانند «جاستین بیبر» و «سلنا گومز» قربانی حملات تعویض سیم‌کارت شدند. سایت مادربورد طی گزارش می‌گوید با حملات تعویض سیم‌کارت در ماه‌های اخیر هزارن دلار از حساب‌های کاربری مردم سرقت شده است.

روش‌هایی برای مقابله با حملات تعویض سیم‌کارت و جلوگیری از سرقت هویت سیم‌کارت و اپراتور تلفن همراه شما وجود دارد. اگرچه این نوع حملات در ایران به خاطر ساختار اپراتورهای تلفن همراه و همین‌طور نبود برخی بسترهای سخت‌افزاری و نرم‌افزاری قابل پیاده‌سازی نیستند ولی باز هم بهتر است اقدامات احتیاطی لازم را انجام دهید.

استفاده از پین‌کد سیم‌کارت

بسیاری از کاربران تصور می‌کنند پین‌کدهای سیم‌کارت بی‌فایده هستند و آن‌ها را در هنگام دریافت سیم‌کارت جدید دور می‌اندازند یا قابلیت پین‌کد سیم‌کارت را غیرفعال می‌کنند.

یکی از روش‌های مقابله با حملات تعویض سیم‌کارت گذاشتن یپن‌کد روی سیم‌کارت است. بسیاری از اپراتورهای تلفن همراه در خارج از ایران و همین‌طور اپراتورهای موبایل ایران اجازه استفاده از پین‌کد موقت و پین‌کد PUK را روی سیم‌کارت می‌دهند.

پین‌کد یک رمز ۴ الی ۸ رقمی است که می‌تواند یک لایه محافظتی به سیم‌کارت و هویت شماره تلفن همراه شما اضافه کند. برای بسیاری از کاربردهای سیم‌کارت نیاز به پین‌کد هست و هکرها اگر این پین‌کد را نداشته باشند؛ نمی‌توانند حملات تعویض سیم‌کارت را پیاده‌سازی کنند.

بهتر است طبق راهنماهای اپراتورهای همراه اول، ایرانسل و رایتل برای سیم‌کارت‌های خود پین‌کدهای موقت و PUK بگیرید تا مطمئن شوید فردی دیگری نمی‌تواند به جای شما از خدمات سیم‌کارت استفاده کند.

احرازهویت دو عاملی بهتر

امروزه، یکی از بهترین روش‌ها برای بهبود امنیت حساب‌های کاربری، استفاده از مکانیزم‌های احرازهویت دو عاملی (two-factor authentication) است.

معمولا در این مکانیزم‌ها از پیامک به عنوان فاکتور دوم تایید هویت استفاده می‌شود. این روش تا حدود زیادی امن است ولی اگر مورد حمله تعویض سیم‌کارت واقع شده باشید؛ پیامک‌های تایید دوم برای هکرها ارسال می‌شود.

بهتر است از مکانیزم‌های احرازهویت دو عاملی بهتری نسبت به SMS استفاده کنید. برخی از سیستم‌ها رمز دوم را برایتان ایمیل می‌کنند یا اپلیکیشن‌های تایید اعتبار دارند. برنامه‌هایی مانند Google Authenticato و Authy به شما امکان می‌دهند که لایه امنیتی بهتر از پیامک برای احرازهویت دو عاملی داشته باشید.

این برنامه بیشتر به سخت‌افزار و گوشی شما وابسته هستند تا شماره تلفن همراه شما و امکان دور زدن و فریب‌شان بسیار پایین است. این اپلیکیشن‌ها در هر ۳۰ ثانیه یک کد شش رقمی به شما نشان می‌دهند تا به عنوان رمز دوم استفاده کنید.

باز هم روش‌های بهتری برای احرازهویت دو عاملی مانند استفاده از کلیدهای سخت‌افزاری Yubikey وجود دارد. این کلید سخت‌افزاری به درگاه USB متصل شده و نقش SMS را در ورود به حساب‌های کاربری ایفا می‌کند.

اقدامات اضافی

افرادی که حساب‌های کاربری بسیار حساسی دارند یا احتمال می‌دهند شماره تلفن و اطلاعات هویتی‌شان در اختیار بسیاری از افراد است؛ می‌توانند اقدامات امنیتی بیشتری برای جلوگیری از حملات تعویض سیم‌کارت انجام دهند.

استفاده از یک شماره تلفن مخفی و کاملا امن برای احرازهویت دو عاملی حساب‌های کاربری یکی از اقداماتی است که می‌تواند مفید باشد.

مجزاسازی حساب‌های کاربری حساس از دیگر حساب‌ها و پنهان کردن این حساب کاربری با عدم استفاده از احرازهویت دو عاملی راه‌حل دیگری است که برخی افراد در پیش می‌گیرند.

برخی شرکت‌های امنیتی نیز خدماتی ارایه می‌دهند تا از شماره تلفن همراه و هویت موبایلی شما محافظت شود.

به هر حال، اگر متوجه شدید برای مدتی هیچ پیامکی به دست شما نمی‌رسد یا اینکه پیام‌های احرازهویت دو عاملی به دست شما نمی‌رسند؛ سریعا نسبت به محافظت از اطلاعات و حساب‌های کاربری خود اقدام و اپراتور تلفن همراه‌تان را مطلع کنید.

منبع

دیدگاه خود را با ما اشتراک بگذارید:

ایمیل شما نزد ما محفوظ است و از آن تنها برای پاسخگویی احتمالی استفاده می‌شود و در سایت درج نخواهد شد.
نوشتن نام و ایمیل ضروری است. اما لازم نیست که کادر نشانی وب‌سایت پر شود.
لطفا تنها در مورد همین نوشته اظهار نظر بفرمایید و اگر درخواست و فرمایش دیگری دارید، از طریق فرم تماس مطرح کنید.