A SIM-csere (SIM swap) támadások az elmúlt években az online fiókok elleni egyik legveszélyesebb és leggyorsabban terjedő módszerévé váltak. Lényege, hogy a támadók kihasználják a telefonszámokba vetett túlzott bizalmat, valamint az emberi jóváhagyásra épülő folyamatokat, így megkerülik a hagyományos autentikációs mechanizmusokat és hozzáférést szereznek az értékes online fiókokhoz. Bár a módszer nem új, az utóbbi időszakban a támadások skálája, hatékonysága és szervezettsége jelentősen nőtt.
A szervezetek évek óta a mobiltelefonszámokra támaszkodnak a digitális azonosítás során. A számokat széles körben használják jelszó-visszaállításra, SMS-ben érkező egyszeri jelszavak (one-time passcode, OTP) kézbesítésére, valamint a felhasználók azonosítására. A SIM-csere támadások azonban rámutattak, hogy ez a megközelítés alapvetően kockázatos. A telefonszám eredetileg kommunikációs csatornaként jött létre, nem pedig biztonsági azonosítóként. Külső szolgáltatók kezelik, hordozható, és gyakran újra kiosztható vagy újrahasznosítható. Emiatt azonosítási tényezőként történő használata komoly biztonsági kockázatokat hordoz.
Egy SIM-csere támadás során a támadó a mobilszolgáltató ügyfélszolgálatát veszi célba, jellemzően social engineering technikákkal vagy ritkább esetben belső összejátszás útján, hogy az áldozat telefonszámát egy másik, az általa ellenőrzött SIM-kártyára helyezze át. Amint a szám átkerül az új SIM-re, a támadó gyakorlatilag átveszi az áldozat mobilidentitását. Ez lehetővé teszi számára az SMS-ben érkező hitelesítési kódok elfogását, jelszó-visszaállítások kezdeményezését, valamint többtényezős hitelesítési (multi-factor authentication, MFA) mechanizmusok megkerülését. A telefonszám feletti kontroll megszerzésével a támadó hozzáférhet e-mail fiókokhoz, banki rendszerekhez, kriptotárcákhoz, felhőszolgáltatásokhoz és közösségi média profilokhoz.
A támadások első lépése általában a felderítés. A támadók adatszivárgásokból, közösségi médiából, nyilvános adatbázisokból vagy adathalász kampányokból gyűjtenek személyes információkat, amelyek segítségével meggyőzően igazolhatják magukat a szolgáltatók ügyfélszolgálatai előtt. Ha az ellenőrzési folyamat statikus adatokra, például születési dátumra vagy lakcímre épül, a támadás gyakran sikeres. A telefonszám áthelyezése után a támadó elfogja az autentikációs kódokat és helyreállítási linkeket. Különösen kritikus az e-mail fiók kompromittálása, mert sok más szolgáltatás helyreállítása vagy hozzáférése ehhez a fiókhoz kapcsolódik, így láncreakció-szerű fiókátvételekhez vezethet.
A SIM-csere támadások ma már nem csak egyéni felhasználókat érintenek. Egyre gyakrabban válnak célponttá vállalati alkalmazottak, rendszergazdák és vezetők. Ha egy szervezet SMS-alapú többtényezős hitelesítést használ például e-mail, VPN vagy felhőszolgáltatások védelmére, egy sikeres SIM-csere lehetővé teheti a vállalati infrastruktúrába való behatolást. A támadó ezt követően laterális mozgást hajthat végre a hálózaton, jogosultságokat emelhet, illetve érzékeny adatokat szerezhet meg. Különösen nagy kockázatot jelentenek a privilegizált felhasználók, például rendszergazdák vagy vezetői fiókok kompromittálása.
Korábban az SMS-alapú hitelesítés a jelszavaknál nagyobb védelmet nyújtott, miközben könnyen bevezethető maradt. A mai fenyegetési környezetben azonban ez a megoldás egyre kevésbé tekinthető megbízhatónak. Az SMS sebezhető a SIM-csere támadásokkal, a távközlési infrastruktúra gyengeségeivel és a mobil eszközöket célzó kártevőkkel szemben is. Az SMS-ek továbbítását biztosító távközlési protokollokban több ismert biztonsági sérülékenység is van, melyeket kihasználva átirányítható, elfogható az SMS.
A szervezetek számára ezért kulcsfontosságú az SMS-alapú autentikáció fokozatos kivezetése és erősebb, adathalászat-ellenálló megoldások alkalmazása. Ide tartoznak például a hardveres biztonsági kulcsok, a passkey-alapú hitelesítés vagy az eszközhöz kötött hitelesítő alkalmazások, amelyek kriptográfiai úton igazolják a hitelességet a megbízható eszközökhöz kötve. Emellett meg kell erősíteni a fiók-helyreállítási folyamatokat is, hogy azok ne csak a telefonszámokra támaszkodjanak.
Fontos szerepet kap az identitásalapú fenyegetések folyamatos monitorozása. A SIM-csere kísérletek gyakran észlelhető anomáliákkal járnak, például hirtelen autentikációs tényezőváltozásokkal, szokatlan jelszó-visszaállítási kísérletekkel vagy új eszközregisztrációkkal. A kockázatalapú hitelesítési rendszerek ilyen esetekben szigorúbb ellenőrzést indíthatnak, vagy ideiglenesen korlátozhatják a hozzáférést.
A SIM-csere támadások rámutatnak arra, hogy a mai informatikai környezetben az identitás jelenti az elsődleges biztonsági határt. Ennek védelme csak akkor lehet hatékony, ha a szervezetek elhagyják az alacsony megbízhatóságú tényezőket, megerősítik a helyreállítási folyamatokat és folyamatos, kockázatalapú identitásvédelemmel egészítik ki a hagyományos biztonsági megoldásokat.