A kétfaktoros hitelesítés veszélyei:Mit tehetünk ellene?
Alighanem mindenkinek a legrosszabb rémálmai között szerepel, hogy egy napon valaki feltöri a bankszámláját, és leemeli a megtakarításait. Ennek megakadályozására persze számos óvintézkedést lehet tenni, beleértve a kétfaktoros hitelesítést is. Azonban az AP újságírójának friss cikke szerint van, amikor ez sem elég. Például amikor a hekkerek az ember telefonszámát lopják el, így a biztonsági kódok is náluk landolnak.
Ezt SIM-cserélős csalásnak (SIM swap scam) hívják, és annyira nem újdonság, hogy már tíz éve is születtek róla cikkek. A módszer lényege, hogy a csalók valamilyen módon – adathalászattal, a darkweben keresztül, vagy akár teljesen nyilvános online adatbázisokból – megszerzik a célpontjuk személyes adatait, majd ezekkel felvértezve ráveszik a mobilszolgáltatót, hogy irányítsa át a mobilszámukat az ő SIM-kártyájukra.
Ha sikerrel járnak, az áldozat először arra lesz figyelmes, hogy nincs szolgáltatás a telefonján, aztán meg arra, hogy rengeteg pénzt emeltek le, vagy legalábbis próbáltak meg leemelni a számlájáról. 2018-ban egy rakás Instagram-fiókot törtek fel így, 2019-ben pedig a Twitter-alapító Jack Dorsey Twitter-fiókjába is így jutott be egy hekkercsapat.
Az FBI 2022-es jelentése szerint a 2018-as év csak a kezdet volt, 2021-re a négyszeresére nőtt az emiatt érkezett bejelentések száma Amerikában, az FCC pedig 2020 és 2023 között számolt be a panaszok megduplázódásáról. A valóságban alighanem ennél is többen estek áldozatául a módszernek, csak az ilyen eseteket gyakran nem jelentik be az áldozatok. Az ilyen csalások 2022 óta Dél-Koreában is gyakoriak, és Európában is előfordulnak, nem véletlenül adott ki az Europol is tájékoztatást róluk néhány éve.
Amerikában az FCC tavaly felvette a kesztyűt, és olyan szabályozási tervezetet nyújtott be, amely a mobilszolgáltatókat arra kötelezné, hogy dolgozzanak ki megfelelő hitelesítési módokat ahhoz, hogy biztosan csak az ügyfeleik tudják átirányítani a telefonszámukat egy másik eszközre és/vagy szolgáltatóhoz.
A szabályozás idén július 8-án lépett volna életbe, az FCC azonban három nappal előtte elhalasztotta a bevezetést a szolgáltatók panaszai miatt.
Az AP újságíróját végül nem tudták megkárosítani a csalók, még azt a 19 ezer dollárt is visszakapta a bankjától, amit a csalók le tudtak emelni a számlájáról. Az nem derült ki, hogy pontosan hogyan tudták átirányítani a mobilszámát, de nem elképzelhetetlen, hogy a személyes adatain túl akár egy hangfelvétel is segíthette a csalókat.
Ez utóbbi fontos lehet, mert a mesterséges intelligencia már a hangutánzásban is nagyon jó, és egy rövid felvétel is elég lehet ahhoz, hogy a csalók teljesen meggyőzően adják ki magukat másnak.
Mit tehetünk az áldozattá válás elkerüléséért?
Elsősorban azt, amit minden más hasonló esetben: ne használjunk ugyanazt a jelszót mindenhol, ne kattintsunk gyanús linkekre, ne tegyük közzé nyilvánosan a személyes adatainkat, és ne rendeljük hozzá mindenhez a telefonszámunkat.
Ebben a konkrét esetben az is sokat segíthet, ha a kétfaktoros hitelesítéshez olyan alkalmazást használunk, mint a Google Hitelesítő, mivel így hitelesítő SMS-ek híján a telefonszámunk kevésbé lesz hasznos a csalóknak.
Az egyre kifinomultabb technikák ellenére, ha körültekintően járunk el, jelentősen csökkenthetjük annak esélyét, hogy áldozatává váljunk egy ilyen típusú csalásnak. Az éberség és a megfelelő óvintézkedések alkalmazása ma már elengedhetetlen a digitális biztonság megőrzéséhez.