Уж сколько раз твердили миру, что атаки на физических лиц с подменой сим-карты - не миф, а реальность. Что номер телефона не должен быть аутентификатором, а подтверждение аутентификации по СМС - опасное зло. Однако, судя по всему, нужны серьезные хищения и громкие кейсы, чтобы изменить ситуацию. Например, как атака на сооснователя криптовалюты Ethereum Виталика Бутерина, благодаря которой злоумышленникам удалось похитить у его подписчиков порядка $700 тыс.
9 сентября в социальной сети Х (бывший Twitter) на странице Виталика Бутерина появилась ссылка, предлагающая “эксклюзивные” NFT (токены, которые используются для обозначения прав собственности на уникальные объекты - предметы искусства и коллекционирования или даже объекты недвижимости. В каждый момент времени у токена может быть только один официальный владелец, при этом права владения токенами обеспечиваются блокчейном Ethereum). Коллекция NFT была якобы от Consensys (ведущая компания по разработке программного обеспечения для блокчейна и web3). Всем желающим было предложено подключить кошельки для минта (т.е. получения) цифрового актива. В итоге хакерам удалось похитить у доверчивых подписчиков Бутерина цифровых активов на сумму порядка $691 тыс (по оценкам блокчейн-исследователя ZachZBT).
Позднее сам Виталик Бутерин в социальной сети Farcaster сообщил, что его аккаунт в Х был взломан в результате атаки с подменой сим-карты. В случае такой атаки злоумышленники выпускают дубликат реальной сим-карты, и на нее перенаправляются все смс, в том числе и необходимые для входа в социальные сети.
Виталик Бутерин признал, что доступу к его сим-карте было достаточно для сброса пароля в социальной сети и что он, наконец, осознал опасность использования номера телефона как аутентификатора.
К сожалению, подобное осознание ко многим приходит лишь после крупных финансовых потерь.
Например, часть кредитных организаций использует до сих пор номер телефона как аутентификатор и коды из смс для подтверждения платежей и переводов через дистанционные каналы банковского обслуживания. А это значит, что против клиентов таких кредитных организаций также могут реализованы быть атаки с подменой сим-карт, в результате которых злоумышленники могут перехватывать смс и получить доступ к интернет-банку. И отделаться легким испугом, как это было с Виталиком Бутериным, жертвам таких атак уже не получиться - злоумышленники смогут вывести все средства со счетов,вкладов, а также оформить кредит и вывести заемные средства банка.
И это при том, что уже давно существуют простые и безопасные решения для аутентификации, где не задействован номер телефона, нет смс и потому подобный сценарий невозможен. PayControl, например.