I en SIM-bytesattack manipuleras SIM-kort och processen för överföring av telefonnummer mellan mobiloperatörer så att textmeddelanden som är avsedda för offret skickas till angriparen i stället. Om du använder SMS för tvåstegsautentisering på Stripe kan angriparen använda denna metod för att få tillgång till dina verifieringskoder och på så sätt få åtkomst till ditt konto.
Ett SIM-kort utfärdas för varje mobiltelefonskund och placeras i telefonen för att identifiera kunden. Ett telefonnummer är i slutändan kopplat till ett och samma SIM-kort. Nyligen introducerades eSIM-kort för att ersätta fysiska kort, som i övrigt fungerar på samma sätt.
Din mobiloperatör har möjligheten att ändra vilket SIM-kort ett telefonnummer är kopplat till. Detta är nödvändigt för att du ska behålla samma telefonnummer om du tappar bort din telefon eller om SIM-kortet skadas eller blir obrukbart på något annat sätt. Det innebär också att anställda hos mobiloperatören har makten att göra denna ändring.
Dessutom krävs det i många länder av lag att kunder ska kunna byta fritt mellan mobiloperatörer. Detta främjar sund konkurrens, men innebär också att mobiloperatörer utför minimala verifieringsåtgärder innan de tillåter att ett telefonnummer ställs om till en annan operatör, vilket utfärdar ett nytt SIM-kort automatiskt.
Det finns flera olika sätt som attacken kan ske på, med samma slutgiltiga följd:
I samtliga fall får angriparen ett SIM-kort som tar emot SMS och telefonsamtal från ditt telefonnummer samtidigt som din befintliga telefon slutar att fungera.
På grund av involverade tredje parter finns det i för närvarande inget sätt att förhindra SIM-bytesattacker. Det enda sättet att skydda dig från de skadliga följderna är att sluta använda textmeddelanden (SMS) för tvåstegsautentisering.
Så länge som SMS för tvåstegsautentisering är aktiverat, är ditt konto utsatt för risk. Du bör aktivera en alternativ metod för tvåstegsautentisering, såsom en autentiseringsapp eller en hårdvarusäkerhetsnyckel och sedan avaktivera SMS.