Nepridipravi so na javnem hekerskem forumu razkrili podatke več kot 533 milijonov uporabniških računov najbolj znanega družbenega omrežja, tokrat s poudarkom na telefonskih številkah. Po oceni nacionalnega odzivnega centra za kibernetsko varnost SI-CERT naj bi bilo v ta polom vključenih 110.177 številk uporabnikov slovenskih telefonskih omrežij oz. 12 % slovenskih porabnikov omenjene platforme. Tokrat se lahko več kot upravičeno vprašamo, kaj to pomeni zame?
Najprej k odgovoru, ali sem na spisku?!
Predvsem, ali je poleg mojega imena in priimka na spisku tudi moja telefonska številka na spisku? Če ste 100 % prepričani, da svoje telefonske številke nikoli niste posredovali platformi Facebook, ni razloga za preplah. Je pa v današnjih časih vseprepletenih sistemov praktično nemogoče v eni minuti zaključiti, ali FB pozna mojo telefonsko številko ali ne. V vsakem primeru lahko na diskreten način preko spletne strani HaveIBeenPwned preverite, ali se tudi vi na seznamu ukradenih računov. Gre za rešitev, ki dnevno zbira in analizira na milijone ukradenih ter objavljenih baz osebnih podatkov in sedaj omogoča iskanje tudi po telefonski številki.
Zakaj tak halo?
COVID-19 in posledično delo od doma je prineslo skokovit porast spletnih zlorab – o ukrepih za varnejše delo od doma sem pisal že lani 10 korakov do varnega dela od doma. Vedno bolj se mi zdi, da zaradi vsakodnevne poplave novic o takšnih in drugačnih vdorih spletnih kriminalcev počasi postajamo apatični in se vračamo v »prehistorično« stanje zavesti: »to se mene ne tiče, to se meni ne more zgoditi ali se mi ne bo zgodilo«. V takšnih primerih se spomnim še časov študija, ko smo govorili o biološkem ozadju adaptacije čutil v človeškem organizmu, ampak naj bo t.i. »sindrom kuhane žabe« za ta namen čisto dovolj informativen. Menim, da je ta dogodek v tem kontekstu dobrodošel, saj vnaša nov moment oz. nov stimulus, na katerega preprosto moramo odreagirati – gre za »mojo telefonsko številko«!
Veliko ljudi svoje telefonske številke ne šteje za posebej privatno informacijo, a žal v rokah nepridiprava lahko pomeni pravo nočno moro. Če pa vas že ne skrbi, da vas bo vsake toliko poklical kakšen čudak in vas nadlegoval oz. skušal iz vas izbezati kakšno drugo zanimivo stvar ali nad vami vršiti socialni inženiring, pa ne gre zanemariti naslednjega. Vaša telefonska številka je tudi vaša rešilna bilka za izgubljena gesla v spletnih storitvah, kot so Gmail, Yahoo, Twitter, Facebook, Instagram ipd. Ok, ampak kaj ima to zveze s trenutno tematiko?
Telefonska številka ni vklesana v telefon
Ste morda že slišali za t.i. »SIM swapping attack«? Gre za napad, pri katerem zlonamernež zaposlenega pri mobilnem operaterju s pomočjo socialnega inženiringa prepriča, da telefonsko številko žrtve veže na njegovo SIM kartico. Od tu dalje so napadalcu odprte naslednje možnosti: ponastavi lahko gesla vseh on-line računov, ki so vezana na to telefonsko številko in prestreza lahko vsa enkratna gesla, ki se pošiljajo na to telefonsko številko kot drugi del dvofaktorske avtentikacije. Glede na objavljeno raziskavo v začetku lanskega leta je kar nekaj ponudnikov ranljivih na tovrstne zlorabe.
Največje tveganje seveda predstavlja ugrabitev dostopa do vašega elektronskega predala. Praktično vsako internetno storitev danes vežemo na elektronski naslov, ki služi tudi kot pripomoček pri ponastavitvi izgubljenega gesla. Vaš elektronski predal v napačnih rokah torej lahko pomeni veliko katastrofo.
SMS zloraba za začetnike
Če je za t.i. »SIM swapping« potrebnega nekoliko več dela, pa pri tehniki »Fake SIM recovery« ni praktično nič dela. Vse, kar mora napadalec poznati, je žrtvina telefonska številka in njeno uporabniško ime pri katerekoli aplikaciji, ki uporablja SMS za drugo možnost v primeru obnove gesla. Tehnika »Fake SIM recovery« je lahko uspešna, ker je edina prepoznavna značilnost oz. podpis SMS sporočila mobilna številka, ki pa nam v primeru SMS sporočila iz tujine pove bore malo. Primer napada bi bil na primer takšen:
Žrtev prejme SMS sporočilo, kjer se napadalec predstavi kot legitimni ponudnik (npr. Google Security) in sporoči, da bo zaradi preverjanja identitete preko SMS-a poslana koda, ki naj jo kopira v odgovor na to sporočilo. V drugem koraku bo napadalec pri dejanskem ponudniku storitve simuliral, da je pozabil geslo in zaprosil za reset preko SMS-a. V naslednjem koraku žrtev prejme kodo za reset gesla in jo kopira kot odgovor na prvotno poslan SMS, s čimer napadalec prevzame dostop in kontrolo nad uporabniškim računom.
Kaj me je dokončno naučil »facebook leak«?
Grehi nekoga drugega nas bodo lahko prizadeli le, če bomo to sami dopuščali. Tako kot varnost za fizično premoženje vzemimo v svoje roke tudi varnost za digitalno premoženje. Varnost se začne in konča pri ključu in odnosu njegovega lastnika. Eno je jasno. Ne le elektronski predal, tudi telefonska številka je osebna stvar, prosto dostopna na spletu je lahko le v izjemnih primerih. Svetujem, da jo odstranite iz podatkovnih baz vseh on-line aplikacij, ki jih uporabljate, če je le mogoče. Za generiranje večfaktorskih gesel dosledno uporabljajte rešitve mobilnih aplikacij, kot so npr. Google Authenticator ipd. Če niste prepričani, da je to možno za vse aplikacije, ki jih uporabljate, si lahko pomagate s stranjo 2fa.directory.
In da ne pozabim. Ne dopustite, da gredo vaši možgani »na pašo«. Izobražujte se, spremljajte trende in širite znanje z drugimi.
