Χάθηκε ξαφνικά το σήμα του κινητού σου χωρίς εμφανή λόγο. Δοκίμασες να επανεκκινήσεις. Τίποτα. Αποφάσισες να το κοιτάξεις αργότερα - άλλωστε μπορεί να είναι πρόβλημα του παρόχου. Αυτή η καθυστέρηση είναι ακριβώς αυτό που χρειάζεται ένας επιτιθέμενος. Μέχρι να μιλήσεις με τον πάροχό σου, ο λογαριασμός σου μπορεί να έχει ήδη αδειάσει.

Πώς λειτουργεί η επίθεση SIM Swap

Η επίθεση SIM Swap (ή SIM hijacking) εκμεταλλεύεται τη διαδικασία αντικατάστασης SIM κάρτας που προσφέρουν όλοι οι τηλεφωνικοί πάροχοι. Αν χάσεις τη SIM σου, μπορείς να πας στο κατάστημα, να αποδείξεις την ταυτότητά σου και να πάρεις νέα κάρτα με τον ίδιο αριθμό. Οι απατεώνες εκμεταλλεύονται ακριβώς αυτή τη διαδικασία.

  1. Συλλογή στοιχείων - Πρώτα μαζεύουν πληροφορίες για εσένα: όνομα, ΑΔΤ ή ΑΜΚΑ (από data breach, smishing ή κοινωνική μηχανική), τηλεφωνικός αριθμός, πάροχος.
  2. Επαφή με τον πάροχο - Παρουσιάζονται ως «εσύ» στο τηλεφωνικό κέντρο ή κατάστημα του παρόχου σου. Λένε ότι έχασαν τη SIM ή ότι χρειάζεται αντικατάσταση. Χρησιμοποιούν τα στοιχεία που μάζεψαν για να περάσουν τον έλεγχο ταυτοποίησης.
  3. Μεταφορά αριθμού - Ο αριθμός σου μεταφέρεται στη νέα SIM τους. Η δική σου χάνει σήμα αμέσως.
  4. Παράκαμψη 2FA - Τώρα λαμβάνουν εκείνοι τα SMS επαλήθευσης (OTP) που αποστέλλει η τράπεζά σου. Αλλάζουν κωδικό web banking και αδειάζουν τον λογαριασμό.

Γιατί είναι τόσο επικίνδυνο

Το SMS ως δεύτερος παράγοντας επαλήθευσης (2FA) θεωρείται σήμερα αδύναμο ακριβώς λόγω του SIM Swap. Παρ' όλα αυτά, οι ελληνικές τράπεζες εξακολουθούν να το χρησιμοποιούν ευρέως για τις δικτυακές συναλλαγές.

Μια επιτυχημένη επίθεση SIM Swap δεν χρειάζεται να παραβιάσει καμία τεχνολογία. Εκμεταλλεύεται τον ανθρώπινο παράγοντα - έναν υπάλληλο που δεν τήρησε αυστηρά τη διαδικασία ταυτοποίησης. Σε πειράματα που έχουν γίνει διεθνώς, πολλοί πάροχοι επέτρεψαν αντικατάσταση SIM με ελλιπή στοιχεία.

Σημάδια ότι έχεις πέσει θύμα SIM Swap

  • Το κινητό σου χάνει ξαφνικά σήμα χωρίς λόγο και δεν επανέρχεται
  • Δεν μπορείς να κάνεις κλήσεις ή να στείλεις SMS ακόμα και με επανεκκίνηση
  • Λαμβάνεις email από τον πάροχό σου για «αντικατάσταση SIM» που δεν ζήτησες
  • Λαμβάνεις ειδοποιήσεις για αλλαγή κωδικού τραπεζικής εφαρμογής που δεν ξεκίνησες εσύ
  • Βλέπεις συναλλαγές στον λογαριασμό σου που δεν έκανες

Πώς να προστατευτείς

Δεν μπορείς να εγγυηθείς 100% ότι δεν θα σε στοχεύσουν, αλλά μπορείς να κάνεις την επίθεση πολύ πιο δύσκολη:

  • Ζήτα από τον πάροχό σου να βάλεις PIN ή κωδικό πρόσβασης στον λογαριασμό σου - Cosmote, Vodafone και Wind προσφέρουν αυτή τη δυνατότητα. Χωρίς τον κωδικό, καμία αλλαγή SIM δεν γίνεται δεκτή.
  • Μη χρησιμοποιείς SMS ως 2FA για τραπεζικές συναλλαγές αν υπάρχει εναλλακτική - Προτίμα εφαρμογή authenticator (Google Authenticator, Authy) όπου η τράπεζα το επιτρέπει.
  • Μη μοιράζεσαι ΑΔΤ, ΑΜΚΑ ή αριθμό τηλεφώνου ανεπιφύλακτα - Αυτά είναι τα στοιχεία που χρειάζεται ένας απατεώνας για να ξεκινήσει την επίθεση.
  • Ρύθμισε ειδοποιήσεις για κάθε συναλλαγή - Όλες οι ελληνικές τράπεζες το προσφέρουν. Έτσι θα ενημερωθείς αμέσως αν γίνει ύποπτη κίνηση.
  • Ρύθμισε ειδοποίηση email για αλλαγή κωδικού - Αν κάποιος αλλάξει τον κωδικό web banking, θα μάθεις αμέσως.

Τι να κάνεις αμέσως αν υποψιαστείς SIM Swap

  1. Κάλεσε τον πάροχό σου από άλλο τηλέφωνο - Ζήτα άμεσο μπλοκάρισμα του λογαριασμού σου και επαναφορά SIM. Η τηλεφωνική γραμμή του Cosmote είναι 13888, Vodafone 1208, Wind 1290.
  2. Κάλεσε την τράπεζά σου - Ζήτα παγωμένο λογαριασμό και ακύρωση κάθε συναλλαγής που έγινε μετά τη στιγμή που έχασες σήμα.
  3. Άλλαξε κωδικούς email και web banking - Χρησιμοποίησε συσκευή που δεν έχει τον αριθμό σου ως 2FA.
  4. Κατάγγειλε στη Δίωξη Ηλεκτρονικού Εγκλήματος - 11188 ή cybercrimeunit.gov.gr.
  5. Κατάγγειλε στην ΑΔΑΕ - Αν παραβιάστηκε το απόρρητο των επικοινωνιών σου, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (adae.gr) είναι ο αρμόδιος φορέας.

Για ολοκληρωμένο οδηγό αντίδρασης σε κάθε τύπο τηλεφωνικής απάτης, συμπεριλαμβανομένου του SIM Swap, δες τι κάνεις αν έδωσες τα στοιχεία σου σε απατεώνα.

Συχνές ερωτήσεις

Χρειάζεται ο απατεώνας να ξέρει τον τραπεζικό μου κωδικό για SIM Swap;

Όχι - αυτό είναι το τρομακτικό. Αν η τράπεζα χρησιμοποιεί SMS για επαναφορά κωδικού, μόνο με τον αριθμό σου και λίγα ακόμα στοιχεία (ΑΔΤ ή ημερομηνία γέννησης) μπορούν να κλειδώσουν τον λογαριασμό σου και να βάλουν δικό τους κωδικό.

Ευθύνεται ο πάροχός μου αν κάνει SIM Swap χωρίς σωστή ταυτοποίηση;

Πιθανώς ναι. Η ΕΕΤΤ έχει εκδώσει κατευθυντήριες γραμμές για τους παρόχους σχετικά με τις διαδικασίες αντικατάστασης SIM. Αν ο πάροχος δεν τήρησε τις διαδικασίες ασφαλείας, μπορεί να υπέχει ευθύνη. Κατάγγειλε και στην ΕΕΤΤ.

Μπορεί το smishing να ξεκινήσει επίθεση SIM Swap;

Ναι - και αυτός είναι ένας από τους συνηθέστερους τρόπους. Ένα ψεύτικο SMS σε κάνει να δώσεις ΑΔΤ ή ΑΜΚΑ, που μετά χρησιμοποιούνται για αίτηση αντικατάστασης SIM. Οι δύο επιθέσεις συνδυάζονται συχνά.