چگونه از خودمان در برابر حملات تعویض سیمکارت محافظت کنیم؟
بسیاری از حسابهای کاربری اینستاگرام هک شدهاند و یک دادخواهی ۲۲۰ میلیون دلاری بر ضد اپراتور مخابراتی AT&T به جریان افتاده است.
یک مشکل و ضعف قدیمی دوباره از سوی هکرها به کار گرفته شده و معضل جدیدی ساخته است. حملات تعویض سیمکارت (SIM SWAP) به هکرها اجازه میدهد هویت سیمکارت شما را سرقت و تمام زندگیتان را به مخاطره بیندازند.
یک حمله تعویض سیمکارت در سادهترین شکل، اپراتور تلفن همراه شما را متقاعد میکند که شماره سیمکارت شما را به اپراتور جدید تغییر دهد. هکرها اطلاعات هویتی شما را از روی سایتهای دیگر یافته و از آن برای سرقت و فریب اپراتور تلفن همراه استفاده میکنند.
وقتی اپراتور سیمکارت شما تغییر میکند؛ بسیاری از اطلاعات شما مانند پیامکها و از جمله پیامکهای احرازهویت دو مرحلهای به جای اینکه به دست شما برسد؛ برای تلفن همراه هکرها ارسال میشود و آنها به راحتی میتوانند وارد حسابهای کاربری مالی و بانکی شما شده یا اطلاعات حساس دیگری را از روی ایمیلها و شبکههای اجتماعی به دست بیاورند.
حملات تعویض سیمکارت یکی از بهترین و موثرترین روشها برای تغییر و سرقت رمزعبور حسابهای کاربری هستند.
در هفتههای اخیر، چندین سرقت مالی و هک گسترده در دنیا اتفاق افتاده که به نظر میرسد با حملات تعویض سیمکارت پیادهسازی شدند. از جمله هک گسترده حسابهای کاربری اینستاگرام یا سرقت مبلغی نزدیک به ۲۳.۸ میلیون دلار از حساب شخصی یک فرد مشهور و ثروتمند.
در سال گذشته هم چندین سلبریتی مانند «جاستین بیبر» و «سلنا گومز» قربانی حملات تعویض سیمکارت شدند. سایت مادربورد طی گزارش میگوید با حملات تعویض سیمکارت در ماههای اخیر هزارن دلار از حسابهای کاربری مردم سرقت شده است.
روشهایی برای مقابله با حملات تعویض سیمکارت و جلوگیری از سرقت هویت سیمکارت و اپراتور تلفن همراه شما وجود دارد. اگرچه این نوع حملات در ایران به خاطر ساختار اپراتورهای تلفن همراه و همینطور نبود برخی بسترهای سختافزاری و نرمافزاری قابل پیادهسازی نیستند ولی باز هم بهتر است اقدامات احتیاطی لازم را انجام دهید.
استفاده از پینکد سیمکارت
بسیاری از کاربران تصور میکنند پینکدهای سیمکارت بیفایده هستند و آنها را در هنگام دریافت سیمکارت جدید دور میاندازند یا قابلیت پینکد سیمکارت را غیرفعال میکنند.
یکی از روشهای مقابله با حملات تعویض سیمکارت گذاشتن یپنکد روی سیمکارت است. بسیاری از اپراتورهای تلفن همراه در خارج از ایران و همینطور اپراتورهای موبایل ایران اجازه استفاده از پینکد موقت و پینکد PUK را روی سیمکارت میدهند.
پینکد یک رمز ۴ الی ۸ رقمی است که میتواند یک لایه محافظتی به سیمکارت و هویت شماره تلفن همراه شما اضافه کند. برای بسیاری از کاربردهای سیمکارت نیاز به پینکد هست و هکرها اگر این پینکد را نداشته باشند؛ نمیتوانند حملات تعویض سیمکارت را پیادهسازی کنند.
بهتر است طبق راهنماهای اپراتورهای همراه اول، ایرانسل و رایتل برای سیمکارتهای خود پینکدهای موقت و PUK بگیرید تا مطمئن شوید فردی دیگری نمیتواند به جای شما از خدمات سیمکارت استفاده کند.
احرازهویت دو عاملی بهتر
امروزه، یکی از بهترین روشها برای بهبود امنیت حسابهای کاربری، استفاده از مکانیزمهای احرازهویت دو عاملی (two-factor authentication) است.
معمولا در این مکانیزمها از پیامک به عنوان فاکتور دوم تایید هویت استفاده میشود. این روش تا حدود زیادی امن است ولی اگر مورد حمله تعویض سیمکارت واقع شده باشید؛ پیامکهای تایید دوم برای هکرها ارسال میشود.
بهتر است از مکانیزمهای احرازهویت دو عاملی بهتری نسبت به SMS استفاده کنید. برخی از سیستمها رمز دوم را برایتان ایمیل میکنند یا اپلیکیشنهای تایید اعتبار دارند. برنامههایی مانند Google Authenticato و Authy به شما امکان میدهند که لایه امنیتی بهتر از پیامک برای احرازهویت دو عاملی داشته باشید.
این برنامه بیشتر به سختافزار و گوشی شما وابسته هستند تا شماره تلفن همراه شما و امکان دور زدن و فریبشان بسیار پایین است. این اپلیکیشنها در هر ۳۰ ثانیه یک کد شش رقمی به شما نشان میدهند تا به عنوان رمز دوم استفاده کنید.
باز هم روشهای بهتری برای احرازهویت دو عاملی مانند استفاده از کلیدهای سختافزاری Yubikey وجود دارد. این کلید سختافزاری به درگاه USB متصل شده و نقش SMS را در ورود به حسابهای کاربری ایفا میکند.
اقدامات اضافی
افرادی که حسابهای کاربری بسیار حساسی دارند یا احتمال میدهند شماره تلفن و اطلاعات هویتیشان در اختیار بسیاری از افراد است؛ میتوانند اقدامات امنیتی بیشتری برای جلوگیری از حملات تعویض سیمکارت انجام دهند.
استفاده از یک شماره تلفن مخفی و کاملا امن برای احرازهویت دو عاملی حسابهای کاربری یکی از اقداماتی است که میتواند مفید باشد.
مجزاسازی حسابهای کاربری حساس از دیگر حسابها و پنهان کردن این حساب کاربری با عدم استفاده از احرازهویت دو عاملی راهحل دیگری است که برخی افراد در پیش میگیرند.
برخی شرکتهای امنیتی نیز خدماتی ارایه میدهند تا از شماره تلفن همراه و هویت موبایلی شما محافظت شود.
به هر حال، اگر متوجه شدید برای مدتی هیچ پیامکی به دست شما نمیرسد یا اینکه پیامهای احرازهویت دو عاملی به دست شما نمیرسند؛ سریعا نسبت به محافظت از اطلاعات و حسابهای کاربری خود اقدام و اپراتور تلفن همراهتان را مطلع کنید.