A csalók SIM-cserével fértek hozzá az áldozatok mobilszámához, így elérték a legtöbb online szolgáltatást, beleértve a banki adatokat is.
A Nemzeti Kiberbiztonsági Intézet tájékoztatása szerint a lengyel Kiberbűnözési Iroda, az FBI és a Homeland Security Investigations (HSI) júniusban négy személyt tartóztatott le, akik szervezett bűnözői csoportként hajtottak végre SIM-swapping támadásokat. Az információk alapján a banda specializált szoftvereket és „social engineering” módszereket alkalmazva jogosulatlan hozzáférést szerzett a távközlési szolgáltatókkal együttműködő vállalatok informatikai rendszereihez, valamint alkalmazottai e-mail fiókjához. Az így megszerzett adatok lehetővé tették az áldozatok telefonszámainak illegális átvételét, az SMS és e-mail kommunikáció lehallgatását, majd kriptovaluta eltulajdonítását.
A SIM-swapping (más néven SIM-csere) egy olyan támadási módszer, amelynek során a bűnözők az áldozat SIM-kártyáját „átklónozzák” egy másik SIM-re, amelyet ők birtokolnak. Mivel a legtöbb online szolgáltatás (bank, kriptotőzsde, e-mail) a kétlépéses hitelesítéshez SMS-kódot küld, a mobilszám átvételével a támadók beléphetnek az áldozat fiókjaiba, megváltoztathatják a jelszavakat, és hozzáférhetnek a pénzéhez anélkül, hogy a valódi eszközéhez hozzányúlnának.
A CBZC becslése szerint a csoport által ellopott összeg több tízmillió lengyel zlotyt. Ez jelenlegi árfolyamon legalább 5 millió amerikai dollárnak felel meg. A lopott összegeket több országban nyitott bankszámlákon és digitális pénztárcákon keresztül mosták tisztára. A banda tagjai ezt rendszeres bevételi forrásként kezelték, nem egyszeri akcióként.
A támadási lánc nem közvetlenül a mobilszolgáltatókat célozta, hanem az azokkal együttműködő partnervállalatokat. Az ellátási lánc gyenge pontjain keresztül kompromittált belső e-mail fiókok adtak hozzáférést olyan adatbázisokhoz, amelyek segítségével a SIM-cseréhez szükséges személyes azonosítók begyűjthetők voltak.
Az NKI figyelmeztet: az eset rávilágít arra, hogy az SMS alapú kétlépcsős hitelesítés formája önmagában nem nyújt elegendő védelmet, ha a mobilszám maga is kompromittálható. Felhasználói szinten a megoldás az SMS helyett hitelesítő alkalmazás vagy hardveres biztonsági kulcs használata.