W jakimś sensie ochrona profili w sieciach społecznościowych, osobistych zdjęć, smartfonów, komputerów, kont bankowych i wielu innych rzeczy stała się normą. Ale w tym wszystkim zapomnieliśmy o jednej małej rzeczy, która w jakimś stopniu jest odpowiedzialna za bezpieczeństwo wyżej wymienionych. Karty SIM to najczęściej ostatnia i najmniej chroniona linia obrony na drodze do naszych danych krytycznych i pieniędzy.

Dlaczego karta SIM jest taka ważna? Odpowiedź jest prosta: ten malutki kawałek plastiku z wlutowanym mikroczipem dba o takie informacje jak lista kontaktów i dane usług, ale również – co ma ogromne znaczenie – przechowuje Twój numer telefonu.

Coraz powszechniej stosowana weryfikacja dwuetapowa często wykorzystuje  wysyłanie kodów jednorazowych za pośrednictwem wiadomości SMS. Oznacza to, że jest on pewnego rodzaju kluczem do wielu (jeśli nie do wszystkich) drzwi w Twoim cyfrowym świecie: profili sieci społecznościowych, danych uwierzytelniających usługi internetowe i nawet bankowości elektronicznej. Tak jak wyznacznikiem solidności całego łańcucha jest jego najsłabsze ogniwo, tak bezpieczeństwo danych osobistych jest określane przez to, jak dobrze Twój numer – w znaczeniu karta SIM – jest chroniony przed niepożądanym dostępem.

karta SIM

Wiele stron, włącznie z Facebookiem i Gmailem oraz chyba wszystkimi usługami bankowości internetowej, oferuje dodatkową ochronę dostępu poprzez połączenie konta z numerem telefonu komórkowego, na który przesyłane są jednorazowe hasła w treści SMS-ów.

W zależności od ustawień i preferencji użytkownika takie hasła mogą być używane zarówno do dostępu do konta, zmiany hasła czy potwierdzania transakcji. Oznacza to, że jeśli osoba postronna zdoła złamać Twoje pierwsze hasło, i tak nie będzie  w stanie uzyskać dostępu do konta, ponieważ nie będzie miała jednorazowego kodu.

Takie podejście do autoryzacji może być uważane za jedno z najlepszych sposobów do ochrony swoich dóbr w internecie, chociaż nie jest idealne: ważna jest pewność, że tylko prawowity właściciel posiada dostęp do telefonu. A przecież sprzęt mógłby przecież zostać skradziony lub niewłaściwie użyty przez kogoś innego.

A zatem co się dzieje, gdy Twój telefon albo sama karta SIM trafi w ręce kogoś innego?

Karta SIM używana w smartfonie może przyczynić się do straty pieniędzy i danych osobistych

Najgorszy scenariusz to zgubienie smartfona wraz z przechowywanymi na nim informacjami o bankowości. Gdy przestępca położy na nim swoją rękę, może ukraść Ci wszystkie pieniądze. Ostatnio możliwość bezpośredniego przeprowadzania transakcji pomiędzy kartami stała się tak powszechna, że ten sposób przesyłania pieniędzy jest z łatwością wykorzystywany.

Twoje dane są tak bezpieczne jak Twoja karta SIM.

Kupowanie w internecie za pomocą karty jest łatwe. Podczas takich transakcji należy mieć tylko dane karty i jednorazowy kod wysyłany na numer telefonu powiązany z kartą. Oznacza to, że nawet Twoje wyszukane i skomplikowane hasło do banku nie będzie konieczne. Potrzebny nie będzie także kod, którego używasz do odblokowania ekranu swojego smartfona: wystarczy włożyć kartę SIM do innego urządzenia i odebrać wiadomości.

Teoretycznie nielegalne transakcje mogą być rozstrzygane z bankiem. Ale to może być trudna droga: bank będzie prawie pewny, że to Ty kupowałeś, i niełatwo będzie to udowodnić.

Wiele transakcji w Sieci wymaga danych karty oraz kodu jednorazowego wysyłanego w SMS-ie – przestępca nie będzie nawet potrzebował loginu do banku.

Mniej szkodliwy scenariusz to strata samego telefonu. Przestępca musi włożyć więcej wysiłku, aby uzyskać Twoje pieniądze, ale wtedy bez problemu uzyska Twoje dane osobiste w wielu serwisach online. To jest całkiem proste do wykonania: resetowanie haseł na wielu stronach wymaga jedynie kodu potwierdzającego, wysyłanego na Twój telefon.

Nawet najbardziej leniwi hakerzy, będąc w posiadaniu Twojego telefonu lub karty SIM, spróbują zrobić użytek przynajmniej z listy kontaktów i będą masowo wysyłać wiadomości do Twoich znajomych i rodziny z błaganiem o pieniądze z różnych pilnych powodów. Stwierdzenie często wykorzystywane przez oszustów “nie ma czasu na wyjaśnienia” jest dość skuteczne nawet wtedy, gdy jest wysłane do nieznajomych, a co dopiero do osoby, którą znasz.

Jednak aby przestępcy uzyskali korzyści z danych finansowych, nie musisz całkowicie stracić swojego telefonu – im wystarczy nawet chwilowy dostęp do Twojej karty SIM. W ciągu zaledwie kilku minut mogą przechwycić wiadomość SMS zawierającą jednorazowe hasło do wykonania transakcji za pośrednictwem Twojego banku internetowego, albo wysłać pocztą szkodliwy odnośnik do kogoś z listy znajomych.

Więc gdy odzyskasz telefon, prawdopodobnie zapomnisz o całym incydencie. A przecież tymczasowa utrata karty SIM może przynieść stratę finansową i inne kłopoty.

Jedną z metod zabezpieczenia się przed konsekwencjami utraty karty SIM jest włączenie kodu PIN dla karty SIM, lecz musi on być całkiem trudny (banalne typu 0000 czy 1234 nie są dobrym pomysłem). W ten sposób nikt nie będzie mógł użyć Twojego numeru telefonu ani na Twoim urządzeniu, ani na żadnym innym telefonie.

autor: Alex Savitsky, źródło: Blog Kaspersky Lab