Sim Swap. Способы защиты от угона sim карт. Часть 1

#Обучение 

Напомню что если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные. 

В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.

Зачем избавляться от аутентификации по СМС.

Злоумышленники могут получить СМС и зайти в чужой аккаунт сразу несколькими способами:

1. Если смогут заполучить телефон с SIM-картой внутри. 
2. Если перевыпустят SIM-карту по поддельным документам. Мошенники покупают слитые паспортные данные и подделывают доверенность или даже сам паспорт. Отправит ли оператор документы на проверку в службу безопасности, зависит от человеческого фактора. 
3. Если угонят SIM-карту по сговору с сотрудниками оператора. 
4. Если перехватят СМС с помощью уязвимостей в самой SIM-карте или в телефоне.

Второй и третий способ – самые массовые. Опасность в том, что потерпевший не сразу поймет, что симку угнали. У мошенника есть все шансы нажиться, до того как вы осознаете проблему и успеете восстановить доступ к своей SIM-карте. 

7По каким признакам ясно, что симку угнали:

• Оператор присылает СМС о замене SIM-карты.
• На телефоне пропадает сеть оператора, перезагрузка не помогает.
• На почту приходят письма о попытках переустановить пароль в разных сервисах.
• Apple ID или аккаунт Google начинает требовать ввести пароль.
• Приходят сообщения о привязке аккаунта к новому устройству.

Если где-то для двухфакторной аутентификации используются push-сообщения, то начнут приходить коды от разных сервисов. 

Как предупредить угон SIM-карты.

• Не выкладывайте в интернет сканы и номера персональных документов, в том числе на онлайн-диски, в соцсети, мессенджеры, обменники изображениями (исключений нет).
• Зайдите в офис вашего сотового оператора и напишите заявление, которое запретит перевыпуск SIM-карты по доверенности. У операторов услуга называется «Запрет действий по нотариальной доверенности».
• Усложните доступ к смартфону с помощью надежного пароля и аутентификации по отпечатку пальца/Face ID.
• Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности. 

Что делать, если все-таки угнали.

Если SIM-карту уже угнали, у вас будет не более суток на блокировку. Поэтому нужно держать под рукой сценарий быстрой блокировки:

• придумайте способ позвонить оператору, если потеряли телефон, например, с ноутбука или планшета. К примеру, установите туда Skype или Viber;
• пополните балансы для звонков;
• найдите номер своего мобильного оператора и запишите его в журнал Skype или Viber;
• отрепетируйте потерю телефона: вытащите симку и попробуйте позвонить оператору выбранными способами. 

Как избавиться от СМС-аутентификации и защитить аккаунты.

Наша общая рекомендация – откажитесь от СМС-аутентификации везде, где можно. Посмотрим, как это сделать для популярных веб-сервисов. 

Сначала рассмотрим те, где используется СМС-аутентификация. А потом защитим те, где сам сервис привязан к номеру телефона.

Google-аккаунт.

1. Зайдите в аккаунт Googlе и перейдите на вкладку «Безопасность».
2. В пункте «Вход в аккаунт Google» включите двухэтапную аутентификацию. Во всплывающем окне пройдите повторную аутентификацию. 

3. Выберите второй фактор аутентификации.

Разберем, что лучше выбрать. 

• СМС или голосовое подтверждение: стоит отказаться от этого метода полностью.
• Резервные коды: один из лучших способов для резервного входа, особенно если использовать его с максимальной осторожностью.
• Запишите их на бумагу, сделайте несколько копий и уберите в несколько безопасных мест. Так они будут в безопасности от онлайн-атак.
• Google authenticator: довольно распространенный метод аутентификации, одноразовые пароли позволяют повысить безопасность вашего аккаунта.
• Но в свете последних событий, стоит тщательнее выбирать приложение.
• Уведомление от Google: отправляет push-уведомление на ваш доверенный девайс. 
• Электронный ключ: идентификатор на физическом носителе. Это либо отдельное устройство, которое нужно вставить в USB-порт компьютера при входе в Google-аккаунт, либо встроенный в смартфон ключ, который передается по Bluetooth с вашего телефона на компьютер при входе в Google-аккаунт. Технология не лишена неудобств, но позволяет обеспечить высокий уровень безопасности, особенно если использовать отдельный девайс, а не смартфон. Это позволяет разделить все факторы на независимые сущности и не «класть все яйца в одну корзину».

4. Выберите резервный способ на случай, если основной способ будет недоступен. Помните, что на одном мобильном не стоит использовать совместно push-уведомления, голосовые подтверждения и СМС (если вы все-таки не отказались от них совсем).

5. Далее в списке есть выбор надежных устройств: для них второй фактор не требуется. Нужно проверить, защищены ли все доверенные устройства. Или очистить весь список и добавить по-настоящему нужные заново.

6. Перейдем обратно к https://myaccount.google.com/security и пройдемся по всем пунктам

Пароль: проверьте, что ваш пароль надежен и уникален. Например, можно воспользоватьсярекомендациями для создания сложных паролей.

Пароли приложений: проверьте и оставьте только те, которые вам нужны

Способы подтверждения личности – номер телефона: Уберите свой номер телефона. Вы можете восстановить доступ к аккаунту через другой фактор, если необходимо.

Способы подтверждения личности – резервный адрес электронной почты: уберите резервный адрес. 

Ваши устройства: уберите все лишние.

Сторонние приложения с доступом к аккаунту: удалите все приложения, которыми не пользуетесь.

• Вход через аккаунт Google: удалите все, которыми не пользуетесь.
• Доступ к связанным аккаунтам: в случае угона аккаунта можно упростить доступ к другим сайтам для злоумышленника. Удаляйте все.
• Диспетчер паролей: перенесите пароли в отдельный Password Manager. Отключите автосохранение паролей.

Продолжение следует...

Источник