Vid en SIM-bytesattack manipuleras sim-kort och processen för överföring av telefonnummer mellan mobiloperatörer så att textmeddelanden som är avsedda för offret skickas till angriparen i stället. Om du använder sms för tvåstegsautentisering på Stripe kan angriparen använda denna metod för att få tillgång till dina verifieringskoder och på så sätt få åtkomst till ditt konto.

Hur fungerar sim-kort?

Alla mobiltelefonskunder får ett sim-kort som placeras i telefonen. Det är ett sätt att identifiera kunden. Ett telefonnummer är kopplat till ett enstaka sim-kort. Nyligen introducerades eSIM-kort för att ersätta fysiska kort, som i övrigt fungerar på samma sätt.

Din mobiloperatör kan ändra vilket sim-kort ett telefonnummer är kopplat till. Detta är nödvändigt för att du ska kunna behålla samma telefonnummer om du tappar bort din telefon, eller om sim-kortet skadas eller blir obrukbart på något annat sätt. Detta innebär att anställda hos mobiloperatören också kan göra en sådan ändring.

Dessutom har många länder lagstiftning som fastställer att kunder ska kunna kunna byta fritt mellan mobiloperatörer. Detta främjar sund konkurrens, men innebär också att mobiloperatörer utför minimala verifieringsåtgärder innan de tillåter att ett telefonnummer ställs om till en annan operatör, som då utfärdar ett nytt sim-kort.

Hur går en SIM-bytesattack till?

Attacken kan ske på flera olika vis, alla med samma resultat:

1. Angriparen kontaktar din mobiloperatör, utger sig för att vara du och berättar att du har tappat bort mobiltelefonen. Angriparen övertygar mobiloperatören om att hen är du och får ett nytt sim-kort utfärdat.
2. Angriparen utger sig för att vara du, kontaktar en annan mobiloperatör och berättar att du vill byta till den nya operatören. Den nya operatören ber den gamla operatören att bekräfta omställningen och angriparen övertygar dem, vilket resulterar i att den nya operatören utfärdar ett nytt sim-kort.
3. En anställd på din mobiloperatör mutas till att ändra ditt telefonnummer så att det kopplas till angriparens sim-kort.

I samtliga fall får angriparen ett sim-kort som tar emot sms och telefonsamtal från ditt telefonnummer samtidigt som din befintliga telefon slutar att fungera.

Hur kan jag skydda mig mot en SIM-bytesattack?

Eftersom tredje parter är involverade finns det för närvarande inget sätt att förhindra en SIM-bytesattack. Det enda sättet att vara skyddad från de skadliga följderna från sådana attacker är att sluta använda textmeddelanden (sms) för tvåstegsautentisering.

Så länge tvåstegsautentisering med sms är aktiverat är ditt konto utsatt för risk. Du bör aktivera en alternativ metod för tvåstegsautentisering, t.ex. en autentiseringsapp eller en hårdvarusäkerhetsnyckel, och därefter inaktivera sms-metoden.