איום "החלפת סים" – האם בישראל עושים מספיק?
ישראלים רבים חשופים למתקפות מסוג זה, המאפשרות לתוקף לקבל בעלות על קווים ניידים, ובכך לבצע בשמו פעולות. האם ספקיות הסלולר נוקטות בצעדים הנדרשים כדי להגן על הצרכנים?
עמי רוחקס דומבה
| 24/10/2019
אילוסטרציה: Bigstock
מתקפות "החלפת סים", הידועות כשם Sim Swap, הן תופעה שכיחה המאפשרת לתוקף לקבל בעלות על מספר הטלפון של הקורבן ולבצע בשמו פעולות. לרוב, מתקפות כאלו גורמות לנזקים כלכליים מהותיים לקורבן. המתקפה נעשית על ידי ביצוע הנדסה חברתית מול מוקדי השירות של חברות הטלקו, כאשר בסוף התהליך עוברת הבעלות על המספר מהקורבן לתוקף ללא ידיעתו של הקורבן.
בישראל, משתמשי הסלולר גם חשופים לסוג מתקפות זה, שנובעת משיטת ניוד המספרים בין החברות המבוססת בעיקרה על שיחה למענה קולי ייעודי בלבד. אם תוקף מצליח לזייף את מספר הקורבן באמצעות כלים קיימים בשוק, הוא יכול לכפות ניוד של המנוי ובכך "לגנוב" "מספר יפה", או לחילופין להשתמש בבעלות על המספר לצורך ביצוע פעולות פיננסיות בשם הקורבן.
משרד התקשורת לא נשאר אדיש ופרסם חוזר מיום 18.4.18 תחת הכותרת "איסור ביצוע ניידות מספרי טלפון באמצעות חיוג למענה קולי". החוזר חייב את ספקי הטלקו בארץ לבצע אימות כפול בעת ניוד מספר. כלומר, לאחר שהמנוי חייג למענה הקולי, ספק הסלולר נדרש לשלוח אליו SMS או להתקשר אליו במידה ואינו מקבל הודעות SMS. בצורה כזו, ספק הטלקו מוודא שהגורם המנייד לא משתמש בכלי לזיוף מספרים. ההוראות המפורטות בחוזר נכנסו לתוקף חודשיים לאחר פרסומו, ביוני 2018.
למרות החשש, יש לציין כי בישראל לא דווחו עד היום תלונות רבות בנושא. על פי החוזר, בשנת 2017 התקבלו אצל ספק טלקו אחד כ-100 תלונות. המשרד לא פרסם נתונים לגבי 2018 או חלק משנת 2019. "מדובר בכמות זניחה של ניודים כפויים ביחס לכלל הניודים המבוצעים לחברה וממנה", טען אותו ספק סלולר שהביא את הנתונים למשרד. עם זאת, במשרד טוענים שישנם עשרות אלפי מנויים פוטנציאליים עם מספרים "יפים", שיכולים להיפגע ממתקפה זו.
מנכ"ל טוויטר נפל ברשת
לצד "המספרים היפים", ישנו, כאמור, ההיבט הפיננסי. רק לאחרונה הוגשה תביעה נגד חברת AT&T, חברת טלקו אמריקנית, בגין גניבה של 24 מיליוני דולרים באמצעות מתקפה כזו. חברת קספרסקי פרסמה נתונים אודות התופעה במדינות שונות בעולם, ואפילו מנכ"ל טוויטר נפל קורבן למתקפה כזו. במרץ האחרון גם ה-FBI הזהיר את אזרחי ארה"ב ממתקפות כאלו. אזהרה נוספת יצאה מהFBI-החודש לגבי שימוש בטכניקה של "החלפת סים" לצורך מעקף אימות דו שלבי בחשבונות מקוונים, כולל פיננסיים.
נזכיר כי בישראל משרד התקשורת והשב"כ אחראים על אבטחת המידע של ספקיות הסלולר. לאחרונה מתגבש מאמץ של המשרד לשלב כוחות בין השב"כ למערך הסייבר, כדי לספק חשיבה משותפת על אבטחת מידע ברשתות הסלולר, בעיקר לאור הפריסה הקרובה של דור חמישי. יוזמה זו טרם הפכה למבצעית.
פנינו לחלק מספקיות הסלולר הגדולות בארץ לקבל תגובה על הדרך בה הן מיישמים את ההמלצות של המשרד, או בכלל, הגנה בפני Sim Swap. טרם התקבלו תגובות בנושא.
ישראלים רבים חשופים למתקפות מסוג זה, המאפשרות לתוקף לקבל בעלות על קווים ניידים, ובכך לבצע בשמו פעולות. האם ספקיות הסלולר נוקטות בצעדים הנדרשים כדי להגן על הצרכנים?
אילוסטרציה: Bigstock
מתקפות "החלפת סים", הידועות כשם Sim Swap, הן תופעה שכיחה המאפשרת לתוקף לקבל בעלות על מספר הטלפון של הקורבן ולבצע בשמו פעולות. לרוב, מתקפות כאלו גורמות לנזקים כלכליים מהותיים לקורבן. המתקפה נעשית על ידי ביצוע הנדסה חברתית מול מוקדי השירות של חברות הטלקו, כאשר בסוף התהליך עוברת הבעלות על המספר מהקורבן לתוקף ללא ידיעתו של הקורבן.
בישראל, משתמשי הסלולר גם חשופים לסוג מתקפות זה, שנובעת משיטת ניוד המספרים בין החברות המבוססת בעיקרה על שיחה למענה קולי ייעודי בלבד. אם תוקף מצליח לזייף את מספר הקורבן באמצעות כלים קיימים בשוק, הוא יכול לכפות ניוד של המנוי ובכך "לגנוב" "מספר יפה", או לחילופין להשתמש בבעלות על המספר לצורך ביצוע פעולות פיננסיות בשם הקורבן.
משרד התקשורת לא נשאר אדיש ופרסם חוזר מיום 18.4.18 תחת הכותרת "איסור ביצוע ניידות מספרי טלפון באמצעות חיוג למענה קולי". החוזר חייב את ספקי הטלקו בארץ לבצע אימות כפול בעת ניוד מספר. כלומר, לאחר שהמנוי חייג למענה הקולי, ספק הסלולר נדרש לשלוח אליו SMS או להתקשר אליו במידה ואינו מקבל הודעות SMS. בצורה כזו, ספק הטלקו מוודא שהגורם המנייד לא משתמש בכלי לזיוף מספרים. ההוראות המפורטות בחוזר נכנסו לתוקף חודשיים לאחר פרסומו, ביוני 2018.
למרות החשש, יש לציין כי בישראל לא דווחו עד היום תלונות רבות בנושא. על פי החוזר, בשנת 2017 התקבלו אצל ספק טלקו אחד כ-100 תלונות. המשרד לא פרסם נתונים לגבי 2018 או חלק משנת 2019. "מדובר בכמות זניחה של ניודים כפויים ביחס לכלל הניודים המבוצעים לחברה וממנה", טען אותו ספק סלולר שהביא את הנתונים למשרד. עם זאת, במשרד טוענים שישנם עשרות אלפי מנויים פוטנציאליים עם מספרים "יפים", שיכולים להיפגע ממתקפה זו.
מנכ"ל טוויטר נפל ברשת
לצד "המספרים היפים", ישנו, כאמור, ההיבט הפיננסי. רק לאחרונה הוגשה תביעה נגד חברת AT&T, חברת טלקו אמריקנית, בגין גניבה של 24 מיליוני דולרים באמצעות מתקפה כזו. חברת קספרסקי פרסמה נתונים אודות התופעה במדינות שונות בעולם, ואפילו מנכ"ל טוויטר נפל קורבן למתקפה כזו. במרץ האחרון גם ה-FBI הזהיר את אזרחי ארה"ב ממתקפות כאלו. אזהרה נוספת יצאה מהFBI-החודש לגבי שימוש בטכניקה של "החלפת סים" לצורך מעקף אימות דו שלבי בחשבונות מקוונים, כולל פיננסיים.
נזכיר כי בישראל משרד התקשורת והשב"כ אחראים על אבטחת המידע של ספקיות הסלולר. לאחרונה מתגבש מאמץ של המשרד לשלב כוחות בין השב"כ למערך הסייבר, כדי לספק חשיבה משותפת על אבטחת מידע ברשתות הסלולר, בעיקר לאור הפריסה הקרובה של דור חמישי. יוזמה זו טרם הפכה למבצעית.
פנינו לחלק מספקיות הסלולר הגדולות בארץ לקבל תגובה על הדרך בה הן מיישמים את ההמלצות של המשרד, או בכלל, הגנה בפני Sim Swap. טרם התקבלו תגובות בנושא.
