A kétfaktoros hitelesítés kockázatai: a SIM-cserélős csalás

A kétfaktoros hitelesítés nem nyújt teljes védelmet, ha a bűnözők ellopják az ember telefonszámát, és így hozzáférnek a biztonsági kódokhoz. Ez a módszer, amelyet SIM-cserélős csalásnak (SIM swap scam) neveznek, már évek óta ismert, és többek között Jack Dorsey, a Twitter alapítójának fiókját is így törték fel.

A csalók a célpont személyes adatait szerezhetik meg különböző módon, például adathalászattal vagy a darkweben keresztül, majd ezek felhasználásával meggyőzik a mobilszolgáltatót, hogy irányítsa át a mobilszámot az ő SIM-kártyájukra. Az áldozatok gyakran csak akkor veszik észre a csalást, amikor már nem működik a telefonjuk, vagy észreveszik, hogy pénzt emeltek le a számlájukról.

Az FBI 2022-es jelentése szerint a bejelentések száma Amerikában 2021-re a négyszeresére nőtt, az FCC pedig 2020 és 2023 között a panaszok megduplázódásáról számolt be. Az Europol is kiadott tájékoztatást a csalásról, amely Dél-Koreában és Európában is előfordul.

Az Amerikai Szövetségi Kommunikációs Bizottság (FCC) tavaly bejelentette, hogy szabályozási tervezetet nyújtott be, amely kötelezné a mobilszolgáltatókat megfelelő hitelesítési módszerek kidolgozására. A szabályozás 2022. július 8-án lépett volna életbe, de az FCC három nappal előtte elhalasztotta a bevezetést a szolgáltatók panaszai miatt.

Az AP újságírója, aki szintén áldozatul esett a csalásnak, végül nem került anyagi kárba, mivel a bankja visszatérítette az ellopott összeget. A csalók esetleg hangfelvételek segítségével is átirányíthatták a mobilszámot, mivel a mesterséges intelligencia képes hangutánzásra is.

A védekezés érdekében fontos, hogy ne használjunk ugyanazt a jelszót mindenhol, kerüljük a gyanús linkeket, ne osszuk meg nyilvánosan személyes adatainkat, és ne adjuk hozzá könnyelműen a telefonszámunkat mindenhez. A kétfaktoros hitelesítéshez érdemes olyan alkalmazást használni, mint a Google Hitelesítő, amely SMS nélkül működik, így a telefonszám ellopása esetén is védelmet nyújthat.