حملات تعویض سیمکارت یا هک سیمکارت، که به آن SIM Swapping یا SIM Hijacking هم میگویند، یک نوع کلاهبرداری امنیتی است که در آن فرد مهاجم سعی میکند با جایگزینی سیمکارت قربانی با سیمکارت تحت کنترل خود، به شماره تلفن او دسترسی پیدا کند. این کار عمدتا برای بهدستآوردن پیامکهای تایید دومرحلهای (2FA) حسابهای کاربری و سایر اطلاعات حساس انجام میشود که به مهاجم این امکان را میدهد تا به حسابهای آنلاین قربانیان از قبیل حسابهای بانکی و رمز ارزها دسترسی پیدا کند.
۳ راه برای حملات تعویض سیمکارت
۱. فریب کارمندان اپراتور تلفن همراه
مهاجم با برقراری تماس با پشتیبانی اپراتور و ادعای اینکه خود قربانی است، تلاش میکند آنها را متقاعد کند که شماره تلفن را به سیمکارت جدیدی که او کنترل میکند، انتقال دهند. این معمولا به وسیله استفاده از اطلاعات شخصی قربانی که از قبل دزدیده شده یا از طریق فیشینگ به دست آمده است، برای اثبات هویت انجام میشود.
۲. استفاده از اطلاعات بهدستآمده به شیوههای غیرقانونی
مهاجمان ممکن است از اطلاعات شخصی و حساس قربانیان که از طریق نقض دادهها، فیشینگ یا روشهای هکینگ به دست آمده باشد، بهره بگیرند تا خود را به جای صاحب اصلی آن جا بزنند و از اپراتور بخواهند سیمکارت را تعویض کنند.
۳. حملات از طریق نهادهای امنیتی یا حکومتی:
یک روش دیگر که ممکن است برای روزنامهنگاران، وکلا، فعالان مدنی و کاربران ایرانی اتفاق بیفتد، این است که از طریق نهادهای امنیتی یا حکومتی که دسترسیهای خاصی به شرکتهای مخابراتی و اپراتورها دارند، انجام پذیرد.
اگر مهاجم یا هکر در تعویض سیمکارت موفق شود، به تمام پیامها و تماسهای ورودی مربوط به شماره تلفن قربانی دسترسی خواهد داشت، شامل کدهای تاییدی که برای تایید دومرحلهای استفاده میشوند. این امر مهاجم را قادر میسازد که از این اطلاعات برای بازنشانی رمز عبور و دسترسی به حسابهای آنلاین قربانیان استفاده کند.
پیامدهای حملات تعویض سیمکارت
پیامدهای این نوع حملات میتواند شامل دسترسی به حسابهای بانکی، سرقت مالی، نقض حریم خصوصی و سرقت هویت باشد که پتانسیل آسیبهای گسترده و ویرانگر را دارد. این حملات نه تنها آسیبهای مالی به قربانیان وارد میکنند، بلکه میتوانند زمینهساز استرس، اضطراب و ازدستدادن اعتماد به نفس باشند.
چگونه میتوان از وقوع این حملات جلوگیری کرد؟
یکی از بهترین روشها برای پیشگیری از حملات تعویض سیمکارت، استفاده از روشهای تایید هویت دومرحلهای – بدون نیاز به پیامک است – از قبیل اپهای تولید کد تایید یا کلیدهای تایید فیزیکی مانند Google Authenticator یا Duo Authenticator.
در برخی کشورها، کاربران میتوانند با اپراتورهای خود تماس بگیرند و درباره گزینههای امنیتی مانند تنظیم یک PIN یا رمز عبور برای اعمال تغییرات در حساب، سوال کنند که میتواند مانع از تغییرات غیر مجاز شود.