În esență, cineva reușește să convingă operatorul să îți mute numărul pe o altă cartelă sau să îl porteze, iar din acel moment primește apelurile și SMS-urile tale.
Dacă 2FA-ul tău depinde de SMS, atacatorul poate reseta parole, poate intercepta coduri și poate prelua conturi în lanț.
Nu trebuie să fii persoană publică ca să fii vizat. Atacurile pot fi automate sau oportuniste, mai ales dacă ai numărul public, dacă ai date personale expuse sau dacă folosești același număr ca metodă de recuperare pentru multe conturi.
Măsuri la operator: PIN, blocări și semnale de alarmă
Primul pas este să pui un PIN sau o parolă pe contul de operator, astfel încât schimbările importante să nu se poată face doar cu nume și CNP. Unii operatori oferă și funcții de tip „account lock” sau controale suplimentare în aplicațiile lor. Ideea este să ridici costul social engineering-ului, ca un atacator să nu poată face schimbarea doar printr-un apel convingător.
Semnalele de alarmă sunt relativ clare: telefonul rămâne brusc fără semnal, apar mesaje că SIM-ul nu mai e valid, nu mai primești SMS-uri, iar prietenii îți spun că numărul tău sună altfel sau că nu mai ești disponibil. Dacă se întâmplă, reacția trebuie să fie rapidă: contactezi operatorul imediat ca să recapeți controlul numărului, apoi schimbi parolele conturilor care depind de acel număr.
În paralel, verifică și conturile financiare și e-mailul. SIM swap este folosit frecvent ca să treacă de 2FA prin SMS pentru conturi bancare sau pentru recuperări de conturi mari. Cu cât reacționezi mai repede, cu atât reduci efectul în lanț.
Cum reduci dependența de SMS: aplicație de autentificare și passkeys
Cea mai practică măsură este să migrezi 2FA de pe SMS pe o aplicație de autentificare, acolo unde platforma îți permite. Pentru conturile critice, folosește passkeys sau chei de securitate, dacă există opțiunea. Aceste metode nu depind de numărul de telefon și sunt mult mai greu de furat printr-un atac la operator.
Apoi revizuiește metodele de recuperare. Multe servicii îți permit să păstrezi numărul ca metodă secundară. Dacă îl păstrezi, fă-o conștient: numărul rămâne o potențială ușă de intrare, chiar dacă nu e metoda principală. Pentru conturile foarte importante, ia în calcul să folosești un e-mail securizat ca metodă principală de recuperare și să păstrezi coduri de rezervă offline.
Un ultim obicei contează mai mult decât pare: nu publica numărul de telefon în bio, pe site-uri de profil sau în postări publice, dacă nu este necesar. Cu cât numărul este mai ușor de asociat cu identitatea ta, cu atât devii o țintă mai simplă pentru social engineering.
