Мошенники с помощью поддельного паспорта или доверенности могут получить доступ к внутренней связи компании с помощью дубликатов корпоративных SIM-карт, сообщили в управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ.
"Гораздо более привлекательной целью для мошенников являются корпоративные номера. Таким образом злоумышленники получают доступ не к отдельным телефонам, а ко всей внутренней связи компании. Главная цель - мастер-SIM… Для атаки используется поддельный паспорт или доверенность — с их помощью у оператора оформляется дубликат SIM-карты", - говорится в Telegram-канале управления.
Отмечается, что после активации новой карты оригинальная перестаёт работать и вся связь компании на время оказывается под контролем злоумышленников.
Как сообщили в управлении, если мошенник получает дубликат "мастер-SIM", он фактически становится администратором корпоративной сети: может управлять звонками и сообщениями, менять настройки и даже контролировать лицевой счёт компании у оператора.
"Почему это опасно: можно перехватывать SMS с кодами доступа к банковским счетам и сервисам, зарегистрированным на абонентские номера корпоративной сети; рассылать фишинговые сообщения от имени компании и внутри сети; вывести средства со счёта корпоративной АТС", - предупредили в ведомстве, добавив, что доступ к такой карте позволяет перенастроить маршрутизацию звонков.
Для защиты от таких атак можно установить уведомления о любых изменениях в корпоративных номерах у оператора, использовать двухфакторную аутентификацию для входа в личный кабинет телефонной станции и ограничить число сотрудников, имеющих право запрашивать SIM-дубликаты.
"При внезапной потере связи у корпоративных номеров немедленно свяжитесь с оператором… Иногда одно отключение телефона может означать, что злоумышленник уже внутри вашей сети ", - сообщили в ведомстве.
По данным управления, инциденты с "дублированием SIM-карт" уже фиксируются в ряде регионов.
"Мастер-SIM" - это основная SIM-карта, на которой зарегистрирован корпоративный номер и к которой привязана виртуальная АТС — система, через которую проходят звонки, переадресации и SMS всех сотрудников.
Обсудить