Cum să-ți protejezi cartela SIM ca să nu te lase hackerii fără bani

Articolul a apărut inițial pe Motherboard.

Hackerii au început să vizeze utilizatorii de Instagram cu nume scurte sau unice, precum și oameni care dețin Bitcoin. Pentru a fura conturile victimei sau criptomonedele, hackerii mai întâi fac rost de numărul de telefon al țintei, care le oferă capacitatea de a reseta parole pe orice cont link-uit cu un anumit număr.

Asta se numește „port out”, o expresie derivată din conceptul de portare a numărului de la un operator de rețele mobile la altul, cunoscut popular și ca furt de SIM sau deturnare de SIM. Un hacker care obișnuia să facă asta mi-a spus că se întâmplă „tot timpul”, în ciuda faptului că furnizorii telecom știu de metoda de atac de ani de zile.

Conform T-Mobile, sute de oameni au fost atacați. În ultimele luni, Motherboard a vorbit cu mai bine de 30 de victime cărora li s-au furat numerele de telefon. Pe lângă contul de Instagram, o victimă intervievată a spus că i-au fost hackuite și conturile de Amazon, eBay, PayPal, Netflix și Hulu, ca urmare a SIM-ului spart.

„Telefoanele noastre sunt cea mai mare vulnerabilitate a noastră”, mi-a spus ea. Deci, ce poți face ca să te protejezi?

Până la urmă, hackul ăsta se bazează pe păcălirea personalului de la companiile de rețele mobile, iar dacă reprezentantul pune botul, e important de reținut că nu prea mai poți face mare lucru. Partea bună e că poți să le îngreunezi considerabil treaba hackerilor care încearcă să-ți fure numărul de telefon. Și mai important sunt acești câțiva pași pe care-i poți urma pentru atenuarea daunele în cazul în care reușesc să-ți fure numărul de telefon.

În lumina atacurilor în creștere asupra conturilor clienților, furnizorii de telefonie mobile din Statele Unite au introdus noi opțiuni de securitate, pentru a îngreuna treaba hackerilor.

AT&T permite clienților să adauge o parolă la cont. Asta e o recomandare separată de parola clienților folosită pentru a se loga în conturile online. Parola asta e obligatorie dacă vrei să faci schimbări semnificative în cont, cum ar fi să-ți portezi numărul de telefon pe un alt SIM. AT&T prezintă și pașii de urmat pentru a activa opțiunea.

Verizon susține că acum impune oricărui utilizator să aibă un PIN sau o parolă ca „metodă primară de autentificare”, atunci când sună la un call center. Acest PIN este similar cu parola de la AT&T, deoarece e folosită pentru comunicarea cu sprijinul tehnic de la Verizon și oferă o măsură în plus de protecție.

Anul trecut, T-Mobile a început să ofere „opțiunea de validare a portării”, pentru protejarea împotriva hackurilor. Practic, e vorba de o parolă, diferită de cea cu care accesezi contul online, care este necesară oricând cineva încearcă să facă schimbări în contul tău, cum ar fi portarea numărului pe o cartelă nouă de DIM: poți ruga un reprezentant de la T-Mobile să adauge un cod la contul tău, care te poate proteja de un hacker care s-ar da drept tine la telefon sau care ar folosi un act de identitate fals într-un magazin.

De asemenea, și Sprint oferă clienților un PIN separat care trebuie băgat oricând schimbi SIM-ul, pe lângă opțiunea de a răspunde la o întrebare de securitate.

Noi te sfătuim să suni operatorul și să-i spui că ești îngrijorat de infractorii care fac rost de numere de telefon și să ceri niște măsuri în plus de securitate, pentru a-ți proteja contul.

După ce hackerii ți-au furat numărul de telefon, ei îl folosesc pentru a reseta parola pe orice cont online care e link-uit cu numărul. De multe ori, asta trece de autentificare în doi pași. De aceea e imperativ să deții controlul asupra numărului de telefon.

Pe cât posibil, ar trebui să scoți numărul de telefon din orice cont care ar putea fi de interes pentru hackeri. Poți menționa un fel de număr de telefon pe conturi, dar noi sugerăm să folosești un număr VoIP, cum ar fi Google Voice, care nu poate fi hack-uit prin SIM. Desigur, trebuie să protejezi și numărul, cu o parolă unică, autentificare în doi pași în cont și să te asiguri că nu expiră dacă nu-l folosești regulat.

Dacă vrei să scoți numărul de telefon din contul de Gmail trebuie să intri pe myaccount.google.com, să te loghezi (dacă e necesar) și apoi să dai click pe Personal Info & Privacy and Personal Info. Dacă ai numărul trecut acolo, atunci scoate-l. De asemenea, verifică să nu ai numărul listat și în Account Recovery Options. În schimb, folosește o aplicație de autentificare, cum ar fi Google Authenticator, ca a doua măsură de securitate.

Dacă insiști să ai un număr afișat, ar trebui să-ți creezi un număr Google Voice, dintr-un cont de Gmail diferit. Din păcate, Google Voice e disponibil doar în Statele Unite momentan, deci oriunde în altă parte o să ai nevoie de un alt serviciu VoIP. (Sfat: mereu creează și salvează codurile de recuperare, când activezi verificarea în doi pași.)

Ca să scoți numărul din contul de Microsoft, intră pe account.live.com, navighează la Security și apoi dă click pe Update Info, de la Update Your Security Info. Dacă ai un număr de telefon acolo, care nu e Google Voice sau altfel de VoIP, atunci scoate-l.

Dacă ai un device Apple, intră pe appleid.apple.com, loghează-te, apoi dă click pe Edit, lângă Security. Adaugă numărul Google Voice sau alt număr VoIP ca Trusted Phone Number, apoi scoate-l pe cel standard. Pentru iMessage sau FaceTime, trebuie să introduci numărul actual de telefon, dar poți folosi și altul, cum ar fi un Trusted Phone Number.

Pe Twitter, dă click pe avatar, intră la Settings and Privacy, apoi navighează la Mobile, din meniul din dreapta. Dacă ai activat autentificarea în doi pași, ai nevoie să introduci un număr de telefon. Din acest motiv, noi sugerăm să oferi un VoIP sau un număr Google Voice, astfel încât hackerii să nu-ți spargă SIM-ul. Mai e posibil și să folosești o aplicație de autentificare sau o parolă de securitate sau să scoți de tot numărul de telefon de pe Twitter.

Situația e similară și pentru Instagram: de pe aplicația mobilă, dă click pe avatar, intră la Edit Profile și schimbă numărul de telefon cu unul VoIP sau Google Voice. Spre deosebire de Twitter, nu e posibil să scoți de tot numărul de telefon din contul Instagram fără să dezactivezi și autentificarea în doi pași.

Pentru Facebook, selectează Settings, din dreapta sus. Mai întâi, dă click e Mobile din meniul din dreapta și scoate-ți numărul de telefon. Acum, adaugă numărul Google Voice sau alt număr VoIP. Apoi intră la Security and Login (tot în meniul din dreapta), fă click pe Edit în opțiunea autentificare în doi pași și asigură-te că numărul nou VoIP e acolo.

Iar pentru Amazon, dă click pe Accounts and Lists, apoi pe Your Account. Apoi fă click pe Login & Security, bagă parola și verifică dacă numărul tău de telefon este listat acolo. Dacă faci asta, știi ce trebuie să faci: schimbă-l cu un număr VoIP.

Noi sfătuim să faci la fel și pentru conturile de PayPal, eBay, Netflix și altele, plus contul bancar.