Cartelele eSIM, clonate fără acces fizic la dispozitive pentru atacarea conturilor bancare

Folosită ca măsură de siguranță pentru protejarea conturilor de utilizator, asocierea numărului de telefon pentru recepționarea codurilor autentificare în doi pași nu mai este la fel de sigură pentru utilizatorii care au trecut la eSIM, existând metode prin care acestea pot fi clonate fără acces fizic la dispozitiv.

Clonarea cartelei eSIM poate fi deosebit de folositoare pentru accesarea contului de Online Banking, eliminând și ultima barieră în calea unui atac de tip phishing în urma căruia atacatorul a aflat deja numele de utilizator și parola fixă pe care o folosești la fiecare conectare. Și ca să nu te simți prea în siguranță știind că telefonul tău folosește o cartelă SIM de tip fizic, află că și aceasta poate fi clonată cu minim de efort, profitând de neatenția/ignoranța angajaților cu care interacționezi în magazinele fizice ale operatorilor de telefonie mobilă. Pur și simplu spui numărul de telefon și confirmi câteva date personale ale persoanei care deține cartela respectivă (ex. nume, CNP) și cu puțin noroc vei pleca de acolo cu o cartelă SIM proaspăt activată cu numărul de telefon la care „râvnești”, timp în care cealaltă persoană rămâne să se mire de lipsa semnalului la rețea. „Tactica” a fost probată fără rea intenție chiar de subsemnatul, cerând și obținând pe loc o nouă cartelă SIM pentru telefonul unui membru al familiei, fără ca angajatul slab instruit să-mi ceară Cartea de Identitate în format fizic și să probeze că eu sunt persoana din poză.

Revenind la eSIM (Embedded Subscriber Identity Modules), acestea oferă în principiu aceeași funcționalitate ca o cartelă SIM în format fizic, doar că cipul acesteia este găzduit direct în telefon și permanent „legat” de acesta. Prin modul în care a fost conceput, formatul eSIM permite reprogramarea cartelei de la distanță. Iar în spiritul experienței fără contact fizic, procesul activării/dezactivării cartelei SIM se face online, prin scanarea unui cod QR generat de operatorul rețelei de telefonie mobilă pe care o alegi.

Iar F.A.C.C.T., o companie de securitate cibernetică din Rusia, dă alarma că a crescut incidența cazurilor de exploatare a tehnologiei eSIM prin atacuri SIM-swap. Prin manipularea funcționalităților eSIM, infractorii ocolesc măsurile de securitate pentru a obține controlul asupra numărului de telefon, iar mai departe pentru a obține acces în orice alte conturi la care numărul de telefon a fost setat ca metodă de autentificare sau de recuperare a parolei.

Modul de operare nu este prea complicat. În loc să se bazeze pe tehnici de inginerie socială sau pe asistență din interior, atacatorii inițiază portarea numărului pe un alt dispozitiv folosind date de identificare relativ ușor de obținut (ex. prin compromiterea bazei de date a unui magazin online unde victima a făcut recent cumpărături). Informațiile sunt folosite pentru a obține generarea codului QR pentru activare eSIM, astfel preluând controlul asupra numărului victimei.

Odată ce au ajuns în posesia numărului victimei, accesarea serviciilor bancare și a aplicațiilor de mesagerie reprezintă doar ținte la îndemână. De aici se poate merge la fraude și mai mari, precum obținerea de credite personale în numele victimei, achiziționarea de bunuri prin descoperire de card, etc.

Pentru a reduce astfel de riscuri, utilizatorii sunt sfătuiți să folosească parole solide, să activeze autentificarea în doi pași pentru orice serviciu online care oferă această opțiune și să ia în considerare măsuri de securitate suplimentare, cum ar fi utilizarea unei chei criptografice în format fizic (ex. FIIDO) sau folosirea aplicațiilor de autentificare (ex. Google Authenticator) pentru conturile de importanță critică, scoțând din circuit numărul de telefon. Chiar dacă niciuna dintre măsurile descrise nu poate garanta că nu-ți va fi „furat” numărul cartelei eSIM, bunele practici de securitate vor face mult mai dificilă „munca” infractorilor, lăsându-ți timp să reacționezi (ex. contactând instituția emitentă pentru blocarea accesului la carduri/conturile bancare).