O kartě SIM už jistě slyšel každý: tyto miniaturní karty jsou nezbytné pro připojení mobilních telefonů k mobilní síti. Škodlivé útoky na SIM karty už jsou známé dlouho, jen jsou velmi složité. Proto se s nimi v praxi naštěstí příliš nesetkáváme.
Již několik let ale existuje i digitální verze SIM karty, kterou podporuje stále více modelů mobilních telefonů. V jejím případě už není nutné vkládat do telefonů fyzickou kartu. Profil uživatele a další nezbytná data jsou uložena přímo v paměťové oblasti zařízení v digitální podobě.
Elektronická verze SIM, tedy eSIM, plní stejný účel jako fyzická SIM karta. Kromě základních údajů pro správnou funkci mobilního zařízení v síti poskytovatele ji lze aktivovat, deaktivovat, přeprogramovat, vyměnit nebo vymazat na dálku. To ji činí pro případné útočníky mnohem zajímavější než fyzickou SIM.
Přístup k bankovním účtům přes mobilní telefon
Zdroj: Opal Pierce/Unsplash
Útočník, který se snaží záměrně ukrást čísla mobilních telefonů, se v bezpečnostním žargonu označuje jako SIM swapper. U fyzických SIM karet je to časově velmi náročný proces, protože obětem je nutné v rámci útoku podstrčit zmanipulované SIM karty. A k tomu byli zapotřebí komplicové přímo v mobilních společnostech.
Při zneužívání eSIM jsou tyto typy útoků snáz proveditelné, protože čísla se na profily přenášejí digitální cestou a v této formě i ukládají. Do cesty nevstupuje fyzické médium.
Útočníci tak často zneužívají oficiální funkce, které se používají při výměně a obnově digitální SIM karty. Ty zahrnují i přenos profilu SIM karty do vlastního zařízení útočníků s eSIM.
Mohlo by vás zajímat
Prvním kontaktem je však stále mobilní operátor, kde se útočníci přihlásí pomocí ukradených přístupových údajů oběti a přenesou její mobilní telefonní číslo do jiného zařízení. Tímto způsobem dochází k faktickému únosu mobilního telefonního čísla, protože eSIM je pro legitimního uživatele deaktivována.
S uneseným mobilním telefonním číslem je pak možné provést mnoho věcí, například obejít řadu mechanismů dvoufaktorové ochrany, které používají banky. Přístup je také možný k účtům aplikací komunikátorů, anebo e-mailovým účtům, což útočníkům umožňuje převzít digitální identitu oběti.
Jak se můžete proti takovým útokům chránit?
Zdroj: Lasse Jensen/Unsplash
Dobrou zprávou je, že ani útoky na eSIM nejsou úplně triviální a vyžadují komplexnější přístup. Navíc dodatečnými bezpečnostními opatřeními si svou ochranu proti této formě nebezpečí můžete výrazně zvýšit:
Základní stupeň ochrany: ten platí zcela obecně a týká se pravidelných aktualizací používaných aplikací a samozřejmě i mobilního operačního systému. Ujistěte se, že používáte zabezpečené aplikace a vyhýbejte se podvodným e-mailům.
Hesla: každý účet je dobré chránit samostatným heslem a pokud si nechcete pamatovat jejich velké množství, není vůbec špatné použít některého ze správců hesel.
Mohlo by vás zajímat
Aktivace druhého faktoru ochrany: pokud je to jen trochu možné, zapněte si dvoufaktorové ověřování. Pro mobilní bankovnictví je to beztak už u většiny bank nezbytné.
Hardwarová ochrana: ačkoliv jsou aplikace pro dvoufakatorové ověřování pohodlnější, ještě bezpečnější jsou hardwarové klíče. Pokud je to možné, používejte je.
Zprávy a oznámení: mobilní operátoři často u požadavku na přenos SIM karty vyžadují potvrzení. Pro vás je to dobrý způsob dozvědět se, že se o tuto změnu pokusil cizí neověřený uživatel, tedy může jít o potenciální nebezpečí útoku.
Zdroj: ctia, Česká bankovní asociace
video
