I en SIM-bytesattack manipuleras SIM-kort och processen för överföring av telefonnummer mellan mobiloperatörer så att textmeddelanden som är avsedda för offret skickas till angriparen i stället. Om du använder SMS för tvåstegsautentisering på Stripe kan angriparen använda denna metod för att få tillgång till dina verifieringskoder och på så sätt få åtkomst till ditt konto.

Hur fungerar SIM-kort?

Ett SIM-kort utfärdas för varje mobiltelefonskund och placeras i telefonen för att identifiera kunden. Ett telefonnummer är i slutändan kopplat till ett och samma SIM-kort. Nyligen introducerades eSIM-kort för att ersätta fysiska kort, som i övrigt fungerar på samma sätt.

Din mobiloperatör har möjligheten att ändra vilket SIM-kort ett telefonnummer är kopplat till. Detta är nödvändigt för att du ska behålla samma telefonnummer om du tappar bort din telefon eller om SIM-kortet skadas eller blir obrukbart på något annat sätt. Det innebär också att anställda hos mobiloperatören har makten att göra denna ändring.

Dessutom krävs det i många länder av lag att kunder ska kunna byta fritt mellan mobiloperatörer. Detta främjar sund konkurrens, men innebär också att mobiloperatörer utför minimala verifieringsåtgärder innan de tillåter att ett telefonnummer ställs om till en annan operatör, vilket utfärdar ett nytt SIM-kort automatiskt.

Hur fungerar SIM-bytesattacker?

Det finns flera olika sätt som attacken kan ske på, med samma slutgiltiga följd:

1. Angriparen kontaktar din mobiloperatör, utger sig för att vara du och berättar att du har tappat bort mobiltelefonen. Angriparen övertygar mobiloperatören om att det är du och får ett ersättnings-SIM-kort utfärdat,
2. Angriparen utger sig för att vara du, kontaktar en annan mobiloperatör och berättar att du vill byta till den nya operatören. Den nya operatören ber den gamla operatören att bekräfta omställningen och angriparen övertygar dem, vilket resulterar i att den nya operatören utfärdar ett nytt SIM-kort, eller
3. En anställd på din mobiloperatör mutas till att ändra ditt telefonnummer så att det kopplas till angriparens SIM-kort.

I samtliga fall får angriparen ett SIM-kort som tar emot SMS och telefonsamtal från ditt telefonnummer samtidigt som din befintliga telefon slutar att fungera.

Hur kan jag skydda mig mot SIM-bytesattacker?

På grund av involverade tredje parter finns det i för närvarande inget sätt att förhindra SIM-bytesattacker. Det enda sättet att skydda dig från de skadliga följderna är att sluta använda textmeddelanden (SMS) för tvåstegsautentisering.

Så länge som SMS för tvåstegsautentisering är aktiverat, är ditt konto utsatt för risk. Du bör aktivera en alternativ metod för tvåstegsautentisering, såsom en autentiseringsapp eller en hårdvarusäkerhetsnyckel och sedan avaktivera SMS.