NOSERVICEvictim+1-555-0123ACTIVESMS 2FAattackercarrier social-engineered

SIM Swap-angreb

11 min læstSikkerhed

SIM-bytte er angrebet, hvor nogen overbeviser din mobiludbyder om at overføre dit telefonnummer til et SIM-kort, de kontrollerer. Fra angriberens perspektiv ringer dit nummer nu til deres telefon - inklusive de SMS-baserede 2FA-koder til din bank, e-mail og krypto. Tab på flere millioner dollar har gjort det til et af de mest følgeskabende forbrugerangreb i det seneste årti.

Hele artiklens krop findes på engelsk nedenfor.

SIM swap (også kaldet SIM-jacking eller SIM-kapring) er angrebet, hvor en uautoriseret person overtaler en mobiloperatør til at udstede et nyt SIM-kort, der er bundet til offerets telefonnummer. Når byttet er gennemført, mister den legitime brugers telefon tjenesten, og hackerens telefon modtager alle opkald og SMS - inklusive godkendelseskoder for enhver konto, der bruger telefonbaseret 2FA.

Hvordan angrebet typisk udfolder sig

Angriberens sti:

XPLZPLZXXXX1. offerinfo: fulde navn, fødselsdato, adresse, delvist SSN, kontonumre. Kommer fra databrud, sociale medier og OSINT.
  • Kontakt operatøren. Enten via telefon, online chat eller personligt i en detailbutik. Foregive at være offeret, hævde, at telefonen er gået tabt, eller at de har brug for et nyt SIM.
  • Bypass verifikation. Vidensbaserede spørgsmål besvares fra recon. I nogle tilfælde springer bestikkede eller socialt manipulerede medarbejdere verifikationen helt over.
  • Aktiver det nye SIM. Transportøren porterer nummeret; offerets telefon mister signal.
  • Kontoovertagelse. Angriber anmoder om nulstilling af adgangskode på e-mail, bank, kryptoudveksling. Nulstillingskoderne ankommer via SMS til angriberens telefon. Inden for få timer har angriberen ændret adgangskoder og låst offeret ude.
  • Dræn-konti. En gang i e-mail og bank/krypto flytter angriberen penge, sælger aktiver eller udtrækker værdi.

    • Hele timesekvensen kan gennemføres i løbet af et angreb. Ofret bemærker ofte først, når deres telefon holder op med at fungere.

    Hvorfor SMS-baseret 2FA aktiverer denne

    SMS-baserede 2FA afhænger af den antagelse, at brugeren kontrollerer telefonnummeret. SIM swap bryder antagelsen direkte. Når først angriberen har nummeret, har de din anden faktor for hver konto, der er sikret med SMS. Dette er den centrale grund til, at sikkerhedsprofessionelle konsekvent advarer mod SMS som en primær 2FA-metode.

    SMS-baseret 2FA er stadig bedre end ingen 2FA – den stopper opportunistisk legitimationsfyldning. Men for enhver konto, der har meningsfuld værdi, er SMS den svageste acceptable anden faktor, og i stigende grad ikke acceptabel overhovedet.

    Berømte sager

    • Michael Terpin tabte $24M i kryptovaluta til et SIM2018-bytte; efterfølgende retssager mod AT&T undersøgte operatøransvar.
    • Joel Ortiz modtog 10 år i 2019 for SIM-bytning af over 7 mio. USD i kryptovaluta fra ofre. 2020 for swaps rettet mod kryptovaluta, identitetstyveri og kreditkortsvindel på tværs af hundredvis af ofre.
    • Twitter CEO Jack Dorsey fik sin konto kompromitteret via SIM-swap i 2019.

      • PLZ61CXXPLZ6s2 grænser)

      Alle større selskaber i USA, EU og andre steder tilbyder nu:

      • Account PIN — en separat adgangskode, der kræves for at foretage ændringer. Kritisk forsvar; aktivere på hver linje.
      • SIM lock — operatøren vil ikke behandle et SIM-udskiftning uden sekundær verifikation.
      • Port-out-lås — deaktiverer nummerportering uden eksplicit oplåsning.XPLZ78PLXXZPLZ078PLZXXPLZ100000000 — øget kontrol med anmodninger om SIM-bytte, især efter mistænkelig aktivitet på det seneste.

      Fangsten: disse forsvar kan omgås af social-engineering eller bestikkelse af frontlinjemedarbejdere. T-Mobile, AT&T, Verizon, Vodafone og andre har alle haft insider-assisteret SIM-byttehændelser. Forsvaret hæver overliggeren, men eliminerer ikke angrebet.

      Hvad du kan gøre

      • Opsæt en mobil-PIN med det samme. Hver konto bør have en. Det første trin.
      • Brug app-baseret eller hardware 2FA, ikke SMS. Til e-mail, bank, krypto, sociale medier. SMS kun som sidste fallback, når intet andet understøttes.
      • Hardwarenøgler til konti med højeste værdi. En YubiKey eller lignende gør SIM-byttet ubrugeligt mod den konto, det beskytter.
      • Email-konto 2FA uden SMSXXL reser alting til kontrol med SMSXPLelse. Beskyt den med TOTP eller hardwarenøgle, ikke SMS.
      • Se efter tegn. Pludselig tab af mobiltjeneste, mens den er i dækning, især uden en åbenlys årsag, kan være det første tegn på SIM-swap. Kontakt din udbyder fra en anden telefon med det samme.
      • eSIM, hvor understøttet. Sværere at bytte eksternt end fysisk SIM i nogle operatørers implementeringer.
      • Separat autentificeringstelefonnummer. Nogle brugere med høj nettoværdi har aldrig brugt et særskilt nummer, som kun er tilknyttet dem 2FA.

      Hvis du har mistanke om et SIM-skift

      1. Ring til dit mobilselskab fra en anden telefon. Bekræft din linjestatus.
      2. Hvis den byttes, kræve øjeblikkelig tilbageførsel og konto-PIN-nulstilling.
      3. Llås dine bank- og mæglerkonti (ring til institutionerne).
      4. Skift adgangskoder på e-mail og andre vigtige konti fra en anden enhed.
      5. XXFile politianmeldelse. For amerikanske ofre, indsend også FBI's IC3.
      6. Hvis der er opstået et økonomisk tab, kontakt institutionerne omgående — frister for rapportering af svindel har betydning.

      Reaktionen fra myndighederne

      FCC vedtog specifikke SIM20-bytteregler for at implementere SIM20-24-procedurer for at implementere SIM20-24-procedurer. at underrette kunderne om port-out anmodninger. EU-regulatorer har udrullet lignende krav. Håndhævelsen er ujævn; reglerne har reduceret tilfældige SIM-bytteforsøg, men motiverede angribere lykkes stadig regelmæssigt.

    Ofte stillede spørgsmål

    Er SIM-swap stadig almindeligt i 2026?
    Ja. FBI's IC3-rapport viser fortsat SIM-swap som en af ​​de svindelkategorier, der har størst vækst. Carrier-forsvaret er forbedret, men beslutsomme angribere lykkes stadig, især gennem bestikkede eller socialt manipulerede insidere.
    Kan et SIM-swap målrettes mod et eSIM?
    Mindre let end et fysisk SIM, men ja. eSIM-swap kræver adgang til din konto og klargøring af en ny eSIM-profil; verifikationsflowet varierer fra transportør. Nogle implementeringer er mere sikre end fysiske SIM-swaps; andre er tilsvarende.
    Forhindrer min mobil-PIN-kode udskiftning af SIM-kort?
    Reducerer risikoen væsentligt. Uden PIN-koden skal angriberen enten gætte den, socialingeniør forbi den eller få en insider til at tilsidesætte den. At indstille et er det vigtigste hygiejnetrin. Vælg en pinkode, der ikke er relateret til offentlige oplysninger om dig.
    Hvorfor lader min bank mig stadig nulstille adgangskoden via SMS?
    De fleste banker er ikke fuldt ud migreret til stærkere godkendelse. Nogle tilbyder app-baseret 2FA som opt-in; nogle kræver et telefonopkald eller besøg for at aktivere hardwarenøgler. De institutioner, der tager dette seriøst, tilbyder FIDO2 / hardwarenøglesupport; mange er stadig afhængige af SMS. Pres på din bank, hvis den stadig kun er SMS.
    Kan en VPN beskytte mod SIM-swap?
    Nej – SIM-swap er et angreb på operatørsiden, der ikke er relateret til din IP eller dit netværk. Forsvaret er udbyderens pinkoder, stærk 2FA på afhængige konti og OPSEC om dit telefonnummer.
    SIM Swap-angreb forklaret: Hvordan dit telefonnummer bliver stjålet