SIM swap -huijauksessa joku soittaa operaattorin asiakaspalveluun ja pyytää siirtämään toisen henkilön numeron omaan liittymäänsä. Se onnistuu, jos operaattori ei varmista soittajan henkilöllisyyttä asianmukaisesti.
Tämä on hyvin ongelmallista tietoturvan kannalta: monien palveluiden kaksivaiheinen vahvistus on mahdollista ohittaa, jos tilinomistajan tekstiviestit saa haltuunsa.
SIM swap -huijauksia on toteutettu ainakin Yhdysvalloissa. Miten arvioisitte, onko tilanne Suomessa parempi? Tarkistetaanko soittajan henkilöllisyys niin hyvin, ettei kukaan ulkopuolinen voi saada toisen puhelinnumeroa haltuunsa?
Muistaakseni sain toisen henkilön liittymän siirrettyä syöttämällä nimen ja henkilötunnuksen operaattorin hallintapaneeliin, eikä muuta vahvistusta tarvittu. (Toivottavasti muistan väärin.) Toki henkilölle tuli tästä tekstiviestejä, ja siirron olisi voinut peruuttaa. Toisaalta jos tämän ajoittaisi vaikka jonkin matkan ajaksi niin, ettei henkilö lue tekstiviestejään (kuvitellaan vaikka jokin vaellus kännykän kantamattomissa), siirto menisi läpi.
HTML5 kirjoitti:
(21.01.2020 12:06:24): SIM swap -huijauksessa joku soittaa...
Tämän vuoksi moni palvelu turvautuukin ulkopuoliseen ratkaisuun esim. Google Authenticator
https://en.wikipedia.org/wiki/
SMS-viestien turvallisuudesta on jo pitkään keskusteltu. Itsellä omakohtaisena kokemuksena se, että monet palvelut käyttävät viestien lähettämiseen ulkopuolista sms-palvelua, jonka seurauksena joku ulkopuolinen taho saa varmuudella luettua sms-viestien sisällön ennen sinua. Itsellä on käynyt jopa niin, että olena saanut samasta numerosta sekä Sonyn, että Microsoftin 2fa -sms-viestejä.
Käytän ensisijaisesti juuri Google Authenticatoria, mutta monissa palveluissa minulla on myös puhelinnumero tilin palauttamista varten.
Harkitsen nyt niiden poistamista, sillä olen tallentanut samojen palveluiden varakoodit, joiden pitäisi riittää, jos puhelin hajoaa ja todennussovelluksen tiedot menetetään. Pitänee ottaa käyttöön myös WhatsAppin kaksivaiheinen vahvistus.
Muutamassa palvelussa tekstiviestit ovat ainoa menetelmä kaksivaiheiseen vahvistukseen, mutta kai sekin on parempi kuin pelkkä salasana, kunhan tiliä ei saa haltuunsa pelkällä tekstiviestillä ilman salasanaa.
Lisäys:
Metabolix kirjoitti:
Muistaakseni sain toisen henkilön liittymän siirrettyä syöttämällä nimen ja henkilötunnuksen operaattorin hallintapaneeliin, eikä muuta vahvistusta tarvittu.
Käsittämätöntä, että henkilötunnuksia käytetään vieläkin henkilöllisyyden varmentamiseen, kun ne on oikeasti vain tarkoitettu erottamaan ihmiset toisistaan yksiselitteisesti. (Toivottavasti tosiaan muistat väärin. Tosin valitettavasti tämä ei olisi ainut tapaus, jossa henkilötunnusta voi käyttää henkilöllisyyden todistamiseen.)
Itselläni on kaikissa sähköposti-, somepalveluissa, sekä konsoli- ja digipelikauppojen käyttäjätunnuksissa käytössä kaksivaiheinen tunnistautuminen.
Lisäksi suosittelen salasanasovellusten käyttöä kaikkien salasanojen luomiseen ja säilömiseen.
Onko suomalaisilla operaattoreilla saatavilla palvelua, jossa pitää tunnistautua vahvemmin, jos haluaa siirtää liittymänsä? Security Checklist -sivulla mainitaan mobile carrier PIN.
Tämän jutun mukaan suomalaisen liittymän kaappaaminen on vaikeaa:
Paypal ei suostu korjaamaan pahaa aukkoa: Rikollinen voi varastaa kaikki rahat puhelinsoitolla – suomalaisilla onnea matkassa (Tivi 8.4.2020)
Vieläkö tämä vain jatkaa elämäänsä.
Aihe on jo aika vanha, joten et voi enää vastata siihen.