حمله تعویض سیم‌کارت: چگونه هکرها شماره تلفن شما را می‌دزدند

شماره تلفن شما بی‌سروصدا کلید اصلی پول شماست. بانک، ایمیل و صرافی ارز دیجیتال شما، همگی به آن اعتماد می‌کنند تا ثابت کنند که شما خودتان هستید، معمولاً با ارسال یک کد. حمله تعویض سیم‌کارت این کلید را می‌گیرد و آن را به یک غریبه می‌دهد، اغلب در زمانی که شما متوجه می‌شوید نوارهای روی صفحه نمایش شما به "بدون سرویس" کاهش یافته است. زمانی که دوباره وصل می‌شوید، یک مهاجم می‌تواند رمزهای عبور شما را بازنشانی کرده و حساب‌های شما را خالی کند. برای دارندگان ارز دیجیتال، آسیب بدتر است - وقتی سکه‌ها از کیف پول خارج می‌شوند، هیچ کس نمی‌تواند آنها را پس بگیرد.

این راهنما توضیح می‌دهد که حمله تعویض سیم‌کارت چیست، چگونه گام به گام کار می‌کند، چرا به ابزار مورد علاقه برای سرقت ارز دیجیتال تبدیل شده است و چند تغییری که واقعاً آن را متوقف می‌کند.

حمله تعویض سیم‌کارت چیست و چرا کار می‌کند؟

حمله تعویض سیم‌کارت، کلاهبرداری در تصاحب حساب کاربری است که نقطه ضعف احراز هویت دو مرحله‌ای را هدف قرار می‌دهد: پیام متنی . سیم‌کارت شما، که مخفف عبارت «ماژول هویت مشترک» است، تراشه کوچکی است که شماره تلفن همراه شما را به تلفن شما متصل می‌کند. در تعویض سیم‌کارت، مهاجم هرگز به دستگاه شما دست نمی‌زند. در عوض، او اپراتور تلفن همراه شما را متقاعد می‌کند که شماره شما را به یک سیم‌کارت جدید که در اختیار دارد منتقل کند. به محض اینکه تعویض سیم‌کارت کامل شود، هر تماس و پیامکی که برای شما در نظر گرفته شده است، از جمله کدهای امنیتی، به تلفن او ارسال می‌شود.

این بخشی است که مردم اشتباه متوجه می‌شوند. این هک تلفن و الگوریتم رمزگذاری خراب نیست. این یک هک خدمات مشتری است. نقطه ضعفی که مورد سوءاستفاده قرار می‌گیرد، نیروی انسانی در اپراتور و این فرض غلط است که کنترل شماره تلفن، هویت را اثبات می‌کند. اصطلاحات تخصصی را کنار بگذارید و تعویض سیم‌کارت فقط کسی است که یک شرکت را متقاعد می‌کند شماره شما را بدهد، سپس از آن برای ورود به هر چیزی که آن شماره از آن محافظت می‌کند، استفاده می‌کند. محققان امنیتی به دلایل خوبی کلاهبرداری‌های تعویض سیم‌کارت را تحت عنوان سرقت هویت طبقه‌بندی می‌کنند. مهاجم نه تنها به دنبال پول شماست؛ بلکه برای مدتی کل هویت دیجیتالی شما را در اختیار دارد، که همه آن از طریق یک حساب تلفن همراه معمولی که شما فرض می‌کردید فقط مال شماست، هدایت می‌شود.

نحوه‌ی عملکرد حمله‌ی تعویض سیم‌کارت، گام به گام

تقریباً هر پرونده از سه مرحله‌ی یکسان پیروی می‌کند و هیچ‌کدام از آن‌ها نیازی به هک پیشرفته ندارند. آن‌ها به صبر و یک داستان قانع‌کننده نیاز دارند.

مرحله ۱: جمع‌آوری اطلاعات شخصی شما

ابتدا مهاجم یک پروفایل از شما می‌سازد. آنها اطلاعات شخصی را از فایل‌های قدیمی نقض داده که در وب تاریک فروخته می‌شوند، از ایمیل‌های فیشینگ که شما را برای تایپ کردن اطلاعاتتان فریب می‌دهند، و از رسانه‌های اجتماعی خودتان استخراج می‌کنند. تاریخ تولد اینجا، نام حیوان خانگی آنجا، چهار رقم آخر کارت از یک پایگاه داده فاش شده، و آنها اطلاعات شخصی کافی دارند تا در یک تماس تلفنی شبیه شما به نظر برسند. هرچه اطلاعات بیشتری را به صورت عمومی منتشر کرده باشید، این مرحله ارزان‌تر است. بیشتر این اطلاعات شخصی اصلاً تازه دزدیده نشده‌اند. سال‌ها پیش در یک نقض فراموش شده فاش شده‌اند و مهاجم به سادگی قطعات پراکنده را در یک کل قانع‌کننده دوباره کنار هم قرار می‌دهد.

مرحله ۲: جعل هویت شما برای اپراتور

سپس آنها خود را به جای شما به اپراتور تلفن همراهتان معرفی می‌کنند. گاهی اوقات این کار با یک تماس تلفنی و گفتن داستانی تکراری در مورد گم شدن یا خراب شدن تلفن همراه انجام می‌شود. گاهی اوقات نیز با یک کارت شناسایی جعلی به یک فروشگاه خرده فروشی مراجعه می‌کنند. در بدترین حالت، مهاجم به سادگی یک کارمند اپراتور را رشوه می‌دهد یا استخدام می‌کند که کل سیستم دفاعی را به یک نفوذی متقلب تبدیل می‌کند. این مهندسی اجتماعی است، نه کد، و به این دلیل کار می‌کند که کارکنان پشتیبانی آموزش دیده‌اند که مفید باشند و صف را خالی کنند.

مرحله ۳: سوآپ و تصاحب

به محض اینکه اپراتور سیم‌کارت جدید را فعال می‌کند - لحظه تعیین‌کننده کل حمله - تلفن واقعی شما از دسترس خارج می‌شود. حالا مهاجم شماره را کنترل می‌کند. آنها به ایمیل یا صرافی شما می‌روند، روی «رمز عبور را فراموش کرده‌اید» کلیک می‌کنند و اجازه می‌دهند کد بازنشانی به صورت یک پیام متنی که می‌توانند بخوانند، برای آنها ارسال شود. آنها آن پیامک را رهگیری می‌کنند، رمز عبور را بازنشانی می‌کنند و به آن دسترسی پیدا می‌کنند. با تصاحب ایمیل شما، آنها به هر حساب دیگری که به آن مرتبط است، هجوم می‌آورند. تصاحب کامل حساب می‌تواند در عرض چند دقیقه اتفاق بیفتد - مدت‌ها قبل از اینکه اکثر مردم متوجه شوند چرا تلفنشان خاموش شده است.

چرا سیم‌کارت‌های سواپ، ماشین سرقت ارزهای دیجیتال هستند؟

حملات زیادی می‌توانند حساب بانکی را خالی کنند، اما بانک‌ها می‌توانند انتقال‌های جعلی را معکوس کنند. ارزهای دیجیتال متفاوت هستند و دقیقاً به همین دلیل است که تعویض سیم‌کارت در این گوشه از امور مالی بسیار مخرب است.

احراز هویت دو مرحله‌ای از طریق پیامک، تنها نقطه‌ی شکست است

اکثر صرافی‌ها هنوز به کاربران اجازه می‌دهند با ارسال کد از طریق پیامک، از حساب کاربری خود محافظت کنند. این روش تا زمانی که متوجه شوید کل دفاع بر یک فرض استوار است، امن به نظر می‌رسد: اینکه فقط شما پیامک‌های خود را دریافت می‌کنید. تعویض سیم‌کارت این فرض را کاملاً نقض می‌کند. یک کد رهگیری‌شده، ورود به سیستم را مجدداً تنظیم می‌کند و احراز هویت دو مرحله‌ای پیامکی، چیزی که قرار است شبکه امنیتی شما باشد، به دری باز تبدیل می‌شود. مهاجم اگر بتواند رمز عبور شما را از طریق شماره شما تنظیم مجدد کند، به رمز عبور شما نیازی ندارد. بدتر از آن، همین ترفند خود رمز عبور را نیز از بین می‌برد، زیرا بسیاری از صرافی‌ها به شما اجازه می‌دهند رمز عبور فراموش‌شده را از طریق پیامک بازیابی کنید. کد پیامکی اصلاً قفل دوم نیست؛ تنها قفل است و تعویض سیم‌کارت کلید آن را در اختیار دارد. حتی موسسات نیز گرفتار می‌شوند: در سال ۲۰۲۴، حساب X خود کمیسیون بورس و اوراق بهادار آمریکا از طریق تعویض سیم‌کارت مورد سرقت قرار گرفت و برای ارسال یک تأییدیه جعلی ETF بیت‌کوین استفاده شد که برای مدت کوتاهی بازار را تکان داد.

طراحی برگشت‌ناپذیر

یک بانک می‌تواند تراکنش را مسدود کرده و هزینه را معکوس کند. اما بلاکچین نمی‌تواند. به محض اینکه یک مهاجم، سکه‌های شما را به کیف پولی که کنترل می‌کند منتقل کند، انتقال قطعی می‌شود و هیچ هزینه‌ای برگشت داده نمی‌شود و هیچ خط پشتیبانی برای تماس وجود ندارد. این برگشت‌ناپذیری یکی از ویژگی‌های ارزهای دیجیتال است - اما تعویض سیم‌کارت را از یک ترس به یک ضرر دائمی تبدیل می‌کند، به همین دلیل است که مهاجمان به طور خاص دارندگان ارزهای دیجیتال شناخته شده را شکار می‌کنند. ارقام دلاری نشان می‌دهد که چقدر در معرض خطر است.

حملات تعویض سیم‌کارت واقعاً چقدر رایج هستند؟

پاسخ صادقانه یک تناقض است. با شمارش خام، این حملات نادر هستند، اما به ازای هر قربانی فاجعه‌بار هستند و اعداد رسمی، ضررهای کریپتو را به شدت کمتر از حد واقعی نشان می‌دهند.

ابتدا به مجموع گزارش‌ها نگاه کنید. مرکز شکایات جرایم اینترنتی اف‌بی‌آی در سال ۲۰۲۴، ۹۸۲ شکایت مربوط به تعویض سیم‌کارت را ثبت کرد که تقریباً ۲۶ میلیون دلار ضرر به همراه داشت، که نسبت به اوج خود که نزدیک به ۷۲.۶ میلیون دلار در سال ۲۰۲۲ بود، کاهش یافته است. مایکروسافت خاطرنشان کرده است که کمتر از ۰.۳٪ از حملات هویتی از تعویض سیم‌کارت استفاده می‌کنند، که در مقایسه با فیشینگ معمولی، ناچیز است. تنها با در نظر گرفتن همین اعداد، ممکن است شانه بالا بیندازید.

سپس دقیق‌تر نگاه کنید. در همان سالی که ضررهای رسمی ناشی از سوآپ سیم‌کارت حدود ۲۶ میلیون دلار بود، یک پرونده در واشنگتن دی‌سی تقریباً ۲۶۳ میلیون دلار بیت‌کوین جابجا کرد و سرقت FTX حدود ۴۰۰ میلیون دلار به سرقت برد. هیچ‌کدام در ستون سوآپ سیم‌کارت قرار نمی‌گیرند، زیرا محققان آنها را تحت دسته‌بندی‌های گسترده‌تر کلاهبرداری یا سرقت ثبت می‌کنند. نکته اصلی این نیست که این حمله بی‌ضرر است. بلکه این است که این حمله غیرمعمول، دقیق و هدفمند است و افرادی را هدف قرار می‌دهد که پول واقعی دارند، به‌ویژه ارزهای دیجیتال، که در آن یک موفقیت به قیمت هزار شکست تمام می‌شود. به‌طور متوسط، هر کلاهبرداری گزارش‌شده سوآپ سیم‌کارت در سال ۲۰۲۴ حدود ۲۶۰۰۰ دلار برای قربانی خود هزینه داشته است و این موارد فقط مواردی هستند که به اندازه کافی کوچک هستند که در وهله اول به‌عنوان سوآپ سیم‌کارت ثبت شوند. سرقت‌های اصلی ارزهای دیجیتال، آن‌هایی که در ده‌ها یا صدها میلیون دلار هستند، در دفاتر کل کاملاً متفاوتی قرار دارند.

علائم هشدار دهنده حمله تعویض سیم کارت

معمولاً یک هشدار مبنی بر در حال انجام بودن تعویض سیم‌کارت دریافت می‌کنید و ساعت از لحظه دریافت آن شروع به کار می‌کند. اینجا دقیقه‌ها مهم هستند، نه ساعت‌ها.

مشکل بزرگ خیلی ساده است: تلفن شما بدون هیچ دلیلی سرویس‌دهی را از دست می‌دهد. باتری پر شده، قطعی اپراتور وجود ندارد، همه اطرافیان شما بار دارند و تلفن شما هم رفته است. در مرکز شهر، این یک نقص فنی نیست. آن را به عنوان یک زنگ خطر در نظر بگیرید، احتمالاً همینطور است. هشدارهای دیگر روی هر دستگاهی که هنوز کار می‌کند ظاهر می‌شوند. شما از حسابی که دیروز استفاده می‌کردید، خارج می‌شوید. پیامک تنظیم مجدد رمز عبوری دریافت می‌کنید که هرگز درخواست نکرده بودید. اپراتور شما برای "تأیید" یک سیم‌کارت جدید که درخواست نکرده بودید، ایمیل ارسال می‌کند. هر یک از این موارد را در سایر دستگاه‌های تلفن همراه خود مشاهده کنید و فرض کنید کسی در حال حاضر سعی در کنترل شماره تلفن همراه شما دارد. هر کاری که بعداً انجام می‌دهید، سریع انجام دهید، زیرا مهاجم از قبل آنجاست.

چگونه از تعویض سیم‌کارت جلوگیری کنیم و از خود محافظت کنیم

شما نمی‌توانید جلوی یک مجرم مصمم را از مهندسی اجتماعی یک مرکز تماس بگیرید، اما می‌توانید شماره خود را برای آنها بی‌ارزش کنید. یک تغییر بسیار مهم‌تر از بقیه است.

از طریق پیامک پول دریافت کنید

یک حرکت از همه بقیه مهم‌تر است. استفاده از پیامک را به عنوان عامل دوم برای هر چیزی که ارزش دارد، متوقف کنید. ورود به هر صرافی، بانک و ایمیل را به یک برنامه احراز هویت یا بهتر از آن، یک کلید امنیتی سخت‌افزاری که یک مهاجم باید شخصاً آن را بدزدد، منتقل کنید. این دیگر یک پارانویای حاشیه‌ای نیست. در اواخر سال ۲۰۲۴، FBI و CISA به عموم مردم گفتند که کدهای پیامکی را کاملاً کنار بگذارند و جدیدترین قوانین هویت فدرال از NIST دیگر پیامک را برای حساب‌های حساس به اندازه کافی خوب نمی‌داند. اگر سرویسی فقط پیامک ارائه می‌دهد، پول واقعی خود را در جایی که از یک برنامه یا یک کلید پشتیبانی می‌کند، قرار دهید. دلیل کار کردن آن ساده است. یک کد احراز هویت فقط روی دستگاه شما وجود دارد. یک کلید سخت‌افزاری را نمی‌توان کپی کرد یا از طریق تلفن با شما خوش و بش کرد. وقتی شماره شما دزدیده می‌شود، هیچ‌کدام از آنها همراه شما نمی‌آیند، بنابراین این مبادله در نهایت شماره‌ای را می‌گیرد که هیچ قفلی را باز نمی‌کند.

حامل و ردپای خود را قفل کنید

سپس خود شماره را محکم کنید. یک پین سیم کارت یا یک قفل انتقال شماره با اپراتور خود اضافه کنید تا بدون آن هیچ مبادله‌ای انجام نشود. بسیاری از ارائه دهندگان اکنون این را به صورت رایگان ارائه می‌دهند، مانند SIM Protection ورایزون، که تغییرات را تا زمانی که آن را خاموش نکنید مسدود می‌کند. از یک رمز عبور قوی و منحصر به فرد و یک مدیر رمز عبور استفاده کنید تا یک نقض داده همه چیز را باز نکند. و تبلیغات دارایی‌های رمزنگاری خود را متوقف کنید، زیرا لاف زدن عمومی روشی است که مهاجمان در وهله اول اهداف خود را انتخاب می‌کنند. کیف پول‌های آرام بسیار کمتر از کیف پول‌های پرسروصدا مورد سرقت قرار می‌گیرند.

اگر با مشکل تعویض سیم کارت مواجه شدید، چه کاری باید انجام دهید؟

سرعت تعیین می‌کند که کلاهبرداری تعویض سیم‌کارت چقدر بد باشد، بنابراین به ترتیب عمل کنید. ابتدا، از طریق تلفن دیگری با اپراتور خود تماس بگیرید تا سرقت سیم‌کارت را گزارش دهید و شماره خود را پس بگیرید. سپس، از طریق دستگاهی که هنوز مورد اعتماد است، رمزهای عبور ایمیل و حساب‌های صرافی خود را مجدداً تنظیم کنید و احراز هویت دو مرحله‌ای پیامکی را از روی تک تک آنها بردارید. اگر ارز دیجیتال دارید، برداشت‌ها را در صرافی خود مسدود کنید و در صورت امکان، وجوه را جابجا کنید. سپس همه چیز را مستند کنید و گزارش‌ها را به مرکز شکایات جرایم اینترنتی FBI و FTC ارسال کنید. هیچ یک از این کارها سرقت کامل را خنثی نمی‌کند، اما می‌تواند حمله‌ای را که هنوز در حال انجام است متوقف کند و قبل از گسترش، تصرف حساب را متوقف کند.

حمله تعویض سیم‌کارت، ضعیف‌ترین حلقه را هدف قرار می‌دهد

حمله تعویض سیم‌کارت به امنیت شما آسیبی نمی‌رساند؛ بلکه از طریق یک شرکت تلفن که هرگز برای محافظت از پس‌انداز شما ساخته نشده است، آن را دور می‌زند. شماره شما هرگز قرار نبود یک سند هویت باشد، با این حال ما آن را به هر چیزی که مهم است متصل کرده‌ایم. برای هر چیزی که پول در آن نگهداری می‌شود، فرض ایمن ساده است: احراز هویت دو مرحله‌ای پیامکی را طوری در نظر بگیرید که انگار از قبل خراب شده است، و همین امروز به سراغ یک برنامه یا کلید سخت‌افزاری بروید، نه اینکه بعد از قطع شدن سرویس در یک بعدازظهر تصادفی، به سراغ آن بروید. این راه حل خسته‌کننده، کامل و حدود ده دقیقه طول می‌کشد. بنابراین تنها سؤالی که اهمیت دارد این است: اگر تلفن شما همین الان خاموش شود، یک غریبه چقدر می‌تواند قبل از اینکه آن را پس بگیرید، به آن دسترسی پیدا کند؟

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.