הכירו את השיטה הפשוטה - והמפחידה - שבה פרצו לחשבון של מנכ"ל טוויטר

חשבונות המדיה החברתית של ג'ק דורסי, השחקנית ג'סיקה אלבה ורבים אחרים נפרצו בשיטה פשוטה שאין שום דרך להתגונן מפניה ■ הפורצים השיגו גם גישה לחשבונות מייל ולחשבונות פיננסיים

לוגו ניו יורק טיימס
ניו יורק טיימס
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
מייסד טוויטר, ג'ק דורסי
לוגו ניו יורק טיימס
ניו יורק טיימס

בשבוע שעבר השתלטו האקרים על חשבון הטוויטר של מנכ"ל החברה ג'ק דורסי בשיטה פשוטה וקשה לעצירה שהעניקה להם גישה מלאה לרשתות החברתיות, לחשבון האימייל ולחשבונות פיננסיים.

השיטה נקראת החלפת סים (SIM swapping) והיא מאפשרת להאקרים להשתלט על מספר הטלפון של הקורבן. בחודשים האחרונים האקרים השתמשו בשיטה זו כדי להשתלט על חשבונות של פוליטיקאים ברשתות החברתיות, על חשבונות של סלבריטאים וכן לגנוב כסף מאנשים ברחבי העולם. הקורבנות לא יכולים להגן על עצמם, לא משנה מהן יכולותיהם הטכנולוגיות.

"אני עוקב אחר פעילות פלילית מחתרתית זה זמן רב, והחלפת סים היא בעיה שמטרידה אותי יותר מכל דבר אחר שראיתי", אמר אלסיון ניקסון, מנכ"ל חטיבת המחקר בחברת אבטחת הסייבר פלאשפוינט. "אין צורך במיומנות מיוחדת והאדם הפשוט לא יכול לעשות כלום נגד זה".

איך פועלת החלפת סים

פושעים מצאו דרך לגרום לחברות תקשורת כמו טי מובייל ו-AT&T להחליף מספר טלפון קיים למכשיר שבשליטתם. המספר שנמצא בכרטיס הסים בטלפון של הקורבן (SIM - subscriber identity module) מוחלף לכרטיס סים אחר בטלפון של ההאקר. ההאקרים מתקשרים לעתים לשירות לקוחות של חברות התקשורת ומתחזים לקורבן. במקרים שאירעו באחרונה, האקרים שילמו לעובדי חברות התקשורת כדי לבצע את ההחלפה עבורם, לעתים 100 דולר עבור מספר טלפון.

לאחר שההאקרים השתלטו על המספר, הם מבקשים מחברות כמו גוגל או טוויטר לשלוח להם קוד כניסה זמני לחשבון בסמס. רוב החברות נענות לבקשה כדי לסייע למי ששכחו את סיסמתם.

ספקיות התקשורת מודעות לבעיה כבר שנים, אך הפתרון היחיד הוא לתת למשתמשים קוד, כך שבעל הטלפון חייב לומר את הקוד בעת החלפת כרטיס הסים. ואולם ההאקרים יכולים לשחד את עובדי החברה כדי להשיג את הקוד.

"נראה כי חברות התקשורת בעולם לא מנסות להקשות על ההאקרים", אמר אריק ווסט, סגן התובע הכללי במחוז סנטה קלרה בקליפורניה שחבר בצוות שמתמקד בבעיה. הרשויות בארה"ב לא מחזיקות בסטטיסטיקה על מספר התקיפות, אך ווסט אומר כי הן נעשות לעתים קרובות יותר בשנה האחרונה.

"התחזות לאנשים היא בעיה בכל התעשייה", אמרה פאולה ג'קינטו, דוברת טי מובייל. "אנחנו משתמשים בכמה אמצעים כדי להגן על הלקוחות ומציעים להם כמה אפשרויות להגן על הידע שלהם".

מי הותקף?

לא ברור כמה אנשים הותקפו בהחלפת סים, אך התלונות מגיעות מרחבי העולם, החל מקניה ועד להוליווד. בשבועות האחרונים הותקפו מפורסמים כמו ג'ק דורסי והשחקנית ג'סיקה אלבה. ההאקרים השתמשו בחשבונות שלהם כדי לפרסם דברים בשמם ברשתות החברתיות, וכן השיגו גישה לפרטי הקורבנות.

מתיו סמית, בעל סטודיו לעיצוב בדרום קליפורניה, הותקף ארבע פעמים בהחלפת סים – שלוש מהן בשנה האחרונה. התקופים התעניינו בחשבון האינסטגרם שלו @whale
בכל פעם הם הצליחו להשתלט על חשבונות המדיה החברתית שלו ועל חשבון האימייל, ובכל פעם טי מובייל הבטיחה לו כי היא הוסיפה אמצעי הגנה לחשבונו.

הוא הצליח לשחזר את חשבונות המדיה החברתית, אך לא הצליח לקבל חזרה שני חשבונות ג'ימייל שבהם שמר תכתובות במשך שנים. בהחלפת הסים האחרונה, ההאקרים התקשרו לסמית ואיימו עליו ועל משפחתו כי יחשפו מידע מהמייל.

הקורבנות התלוננו כי הם מתקשים לקבל עזרה מחברות התקשורת לאחר המתקפות, או אפילו למצוא מישהו בחברת הטלפון שמבין את הבעיה.

מה שהחל כמתיחה הפך לגניבת זהויות וכסף

החלפת סים הפכה פופולרית בקהילת ההאקרים בשנים האחרונות. התוקפים רצו להשתלט על חשבון של דמות איקונית ברשת החברתית כדי לפרסם דברים בשמה. עם הזמן התוקפים הבינו שהם יכולים להשתלט על יותר דברים וכבר לא הסתפקו בחשבונות מדיה חברתית.

ב-2016 החלה קבוצת האקרים שעסקה בהחלפת סים לסמן כמטרה מחזיקי מטבעות דיגיטליים. בניגוד לחשבונות בנק מסורתיים ברגע שכסף דיגיטלי מועבר לכתובת וירטואלית אחרת לא ניתן לבטל את ההעברה. חשבונות בנק בארה"ב יותר עמידים בפני מתקפות החלפת סים כי הבנק יכול לבטל כל פעילות פלילית בחשבון.

באפריקה כנופיות משתמשות בהחלפת סים כדי לשדוד חשבונות פיננסיים שפועלים דרך ספקיות הסלולר כמו MPesa בקניה. הרשויות בדרום אפריקה דיווחו כי בשנה שעברה נרשמו 11 אלף מתקפות החלפת סים.

מומחי אבטחת סייבר חוששים כי ההאקרים יגבירו את המתקפות נגד מטרות בעלות חשיבות גבוהה יותר. כמה פוליטיקאים בברזיל דיווחו כי הטלפונים שלהם וחשבונות המדיה החברתית שלהם נפרצו. "מתקפות החלפת סים נמצאות בעלייה, והן ימשיכו לעלות עד שהחברות יעשו משהו בנדון", אמר ניקסון.

לחצו על הפעמון לעדכונים בנושא:

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker