В США и Европе набирают популярность две новые схемы взлома систем авторизации с помощью одноразовых паролей (one-time-password, OTP), которая применяется для онлайн-банкинга, с помощью дубликатов SIM-карты мобильного телефона, что гораздо опасней, чем когда злоумышленники пытались просто изменить телефонный номер, чтобы перенаправить OTP-пароль на другой номер.
В первом типе атаки используется троянскую программу Gozi Trojan для похищения кода IMEI (international mobile equipment identity) сотового аппарата у владельца учётной записи. Получив IMEI-код, мошенники связываются с мобильным оператором жертвы, сообщают, что мобильный телефон утерян или украден, и просят выслать новую SIM-карту. После того, как они получили SIM-карту, все OTP-пароли будут приходить на сотовый терминал злоумышленников.
Второй тип атак, который больше распространён в Европе, начинается с инфицирования веб-браузера трояном класса Man in the Browser (MitB), либо с фишинг-атаки, позволяющей получать информацию о банковском счёте жертвы, включая имя, номер телефона и прочее. Далее злоумышленник направляется в местное отделение полиции и используют похищенную персональную информацию для того, чтобы полиция внесла номер телефона жертвы в список краденных или утерянных мобильных телефонов и выдала соответствующий документ об этом. После чего он звонит жертве и сообщает, что её сотовый терминал в ближайшие 12 часов будет работать с перебоями. Затем мошенник обращается в центр обслуживания абонентов оператора, предъявляет им справку из полиции и требует выдать новую SIM-карту. Таким образом, теперь на телефон преступники будут поступать все входные звонки и OTP-пароли, которые предназначались для владельца счета в банке.
Но противостоять подобным атакам непросто, но возможно. Для этого надо с большой осторожностью относиться ко всем изменениям на веб-сайте банка, особенно если там запрашивается та информация, которую ранее не запрашивали. Лучше перезвонить в банк и уточнить. Кроме того, необходимо относиться с подозрениям к любым неожиданным звонкам по телефону, в ходе которых некто неизвестный пытается выяснить конфиденциальную информацию.
Отметим, что подобные атаки возможны только в США и Западной Европе, поскольку в этих странах большая часть мобильных телефонов продаётся через розничные сети мобильных операторов. Таким образом, оператор заранее привязывает телефонный номер к IMEI-кодом мобильного устройства. А чтобы получить дубликат SIM-карты в нашей стране, мошенникам придётся вместе с IMEI-кодом похищать и список последних телефонных номеров, по которым звонила жертва (в случаях бесконтрактного подключения), или предъявить паспорт и копию контракта.