Home / آموزشی / مفهوم SIM Swapping: کابوسی که می‌تواند رمزارزهای شما را ببلعد

مفهوم SIM Swapping: کابوسی که می‌تواند رمزارزهای شما را ببلعد

By
بدون دیدگاه
7:43 ق.ظ

سلام به همه علاقه‌مندان به دنیای جذاب رمزارزها در وبلاگ یومیکس! امروز می‌خواهیم به سراغ یک موضوع مهم و متاسفانه رایج در دنیای امنیت دیجیتال بریم که می‌تونه سرمایه دیجیتال شما رو به خطر بندازه.

فرض کنید یک روز صبح از خواب بیدار می‌شید و می‌بینید که سیم‌کارتتون از کار افتاده. شاید فکر کنید یه مشکل کوچیک مخابراتیه، اما ممکنه این شروع یک کابوس تلخ برای دارایی‌های دیجیتال شما باشه: کلاهبرداری سیم سواپینگ (SIM Swapping).

سیم سواپینگ (SIM Swapping) چیست؟ یک تعریف ساده

سیم سواپینگ، که به آن SIM Hijacking یا Port-Out Scam هم گفته می‌شود، نوعی کلاهبرداری است که در آن مهاجم با استفاده از فیشینگ، مهندسی اجتماعی یا روش‌های دیگر، اطلاعات شخصی شما را به دست می‌آورد و با استفاده از آن‌ها خود را به جای شما جا می‌زند و موفق می‌شود شماره تلفن شما را به یک سیم کارت دیگر (معمولاً سیم کارتی که خودش در اختیار دارد) منتقل کند.

در واقع، مجرم به اپراتور تلفن همراه شما زنگ می‌زند یا حتی به صورت حضوری مراجعه می‌کند و ادعا می‌کند که سیم‌کارت اصلی‌اش را گم کرده یا خراب شده است و درخواست می‌کند که شماره او (شماره شما) را به یک سیم‌کارت جدید متصل کند. با در دست داشتن اطلاعات شخصی کافی (مثل نام کامل، تاریخ تولد، آدرس، شماره ملی یا حتی پاسخ سوالات امنیتی)، او می‌تواند اپراتور را متقاعد کند که واقعاً شما هستید و این جابجایی را انجام دهد.

نتیجه این می‌شود که سیم‌کارت شما از کار می‌افتد و شماره تلفن شما اکنون روی سیم‌کارت مهاجم فعال می‌شود. حالا مهاجم می‌تواند پیامک‌ها و تماس‌های شما را دریافت کند، به خصوص کدهای تایید دو مرحله‌ای (2FA) که با استفاده از پیامک ارسال می‌شوند.

چرا سیم سواپینگ برای دارندگان رمزارز خطرناک است؟

اگرچه سیم سواپینگ می‌تواند برای هرکسی که از شماره تلفن خود برای امنیت حساب‌هایش استفاده می‌کند خطرناک باشد، اما برای صاحبان رمزارزها یک تهدید بسیار جدی‌تر است.

دلیل اصلی این است که بسیاری از صرافی‌های رمزارز، کیف پول‌های آنلاین، و حتی سرویس‌های دیگر مرتبط با رمزارز (مانند حساب‌های مرتبط با ایردراپ‌ها یا پلتفرم‌های Defi) از شماره موبایل شما به عنوان یکی از راه‌های اصلی احراز هویت یا بازیابی حساب استفاده می‌کنند. این استفاده عمدتاً به شکل زیر است:

  • تایید هویت دو مرحله‌ای با پیامک (SMS-based 2FA): رایج‌ترین روش. هنگام ورود، برداشت یا انجام تغییرات مهم در حساب، کدی به شماره موبایل شما پیامک می‌شود که باید وارد کنید. مهاجم با در دست داشتن شماره شما، این کد را دریافت می‌کند.
  • بازیابی رمز عبور از طریق شماره موبایل: اگر رمزتان را فراموش کنید، برخی صرافی‌ها اجازه می‌دهند با استفاده از شماره موبایلتان رمز را بازیابی یا تغییر دهید. مهاجم این امکان را پیدا می‌کند.
  • هشدارهای امنیتی: پیامک‌هایی که برای اطلاع‌رسانی درباره فعالیت‌های مشکوک در حساب شما ارسال می‌شوند. مهاجم این هشدارها را دریافت و شما را بی‌خبر می‌گذارد.

تصور کنید مهاجم با انجام سیم سواپینگ، شماره تلفن مرتبط با حساب صرافی رمزارز شما را کنترل می‌کند. حالا می‌تواند با استفاده از نام کاربری و رمز عبور (که ممکن است با روش‌های دیگری مانند فیشینگ به دست آورده باشد) یا با استفاده از گزینه “فراموشی رمز عبور” و دریافت کد تایید از طریق پیامک، وارد حساب شما شود و تمام دارایی‌های رمزارز شما را به کیف پول خود منتقل کند. این اتفاق می‌تواند در عرض چند دقیقه رخ دهد و چون تراکنش‌های رمزارزی اغلب غیرقابل بازگشت هستند، بازیابی دارایی‌ها عملاً غیرممکن خواهد بود.

چگونه سیم سواپینگ اتفاق می افتد؟ مراحل کلاهبرداری

فرایند سیم سواپینگ معمولاً چند مرحله دارد که با همکاری یا سهل‌انگاری یک کارمند اپراتور تلفن همراه تکمیل می‌شود:

مرحله اول: جمع‌آوری اطلاعات

مهاجمان ابتدا اطلاعات شخصی قربانی را جمع‌آوری می‌کنند. این اطلاعات ممکن است از طریق روش‌های مختلفی به دست آید، از جمله:

  • فیشینگ (Phishing): ارسال ایمیل‌ها یا پیام‌های جعلی که فرد را فریب می‌دهند تا اطلاعات حساسی مانند نام کاربری، رمز عبور، شماره تلفن همراه، تاریخ تولد و حتی شماره ملی خود را وارد کند. ممکن است این ایمیل‌ها شبیه به ایمیل‌های واقعی از طرف بانک‌ها، سرویس‌های ایمیل، یا حتی صرافی‌های رمزارز باشند.
  • مهندسی اجتماعی (Social Engineering): تماس تلفنی با قربانی یا دوستان و خانواده او با وانمود کردن به اینکه از یک شرکت یا سازمان معتبر هستند و درخواست اطلاعات شخصی تحت بهانه‌های مختلف (مثلاً به‌روزرسانی اطلاعات حساب، برنده شدن در قرعه‌کشی، یا هشدار امنیتی).
  • نشت اطلاعات (Data Breaches): اطلاعات شخصی ممکن است از پایگاه‌های داده‌ای که هک شده‌اند به دست مهاجمان برسد. حتی اگر خودتان قربانی هک نباشید، ممکن است اطلاعات شما در یک سرویس دیگر (که از آن استفاده می‌کردید) لو رفته باشد.
  • جستجو در شبکه‌های اجتماعی و منابع عمومی: بسیاری از افراد اطلاعات شخصی خود را به صورت عمومی در شبکه‌های اجتماعی منتشر می‌کنند که می‌تواند مورد سوءاستفاده قرار گیرد.

مرحله دوم: تماس با اپراتور تلفن همراه

پس از جمع‌آوری اطلاعات کافی، مهاجم با اپراتور تلفن همراه قربانی تماس می‌گیرد. او با استفاده از اطلاعات به دست آمده، خود را به جای قربانی جا می‌زند.

مرحله سوم: متقاعد کردن اپراتور و درخواست انتقال شماره

مهاجم به اپراتور می‌گوید که سیم‌کارت اصلی او گم شده، دزدیده شده یا خراب شده است و درخواست می‌کند شماره تلفن او به یک سیم‌کارت جدید (که مهاجم از قبل تهیه کرده و در اختیار دارد) منتقل شود یا اصطلاحاً “پورت اوت” شود.

در این مرحله ممکن است اپراتور برای احراز هویت سوالاتی بپرسد، مانند تاریخ تولد، آدرس، شماره ملی، یا پاسخ سوالات امنیتی که کاربر هنگام ثبت‌نام تعیین کرده است. مهاجم با استفاده از اطلاعاتی که در مرحله اول جمع‌آوری کرده، به این سوالات پاسخ می‌دهد. اگر اطلاعات او کافی و متقاعدکننده باشد، اپراتور بدون اطلاع کاربر اصلی، انتقال شماره را انجام می‌دهد.

متاسفانه، در برخی موارد، این کلاهبرداری با همکاری یا سهل‌انگاری کارمندان داخلی اپراتورها انجام می‌شود که اطلاعات حساس مشتریان را در اختیار مهاجمان قرار می‌دهند.

مرحله چهارم: کنترل شماره و دسترسی به حساب‌ها

پس از موفقیت‌آمیز بودن انتقال، سیم‌کارت قربانی قطع می‌شود و شماره تلفن او روی سیم‌کارت مهاجم فعال می‌شود. حالا مهاجم می‌تواند پیامک‌ها و تماس‌های ورودی به این شماره را دریافت کند.

مهاجم بلافاصله به سراغ حساب‌های آنلاین قربانی که با این شماره تلفن مرتبط هستند می‌رود، به خصوص حساب‌های صرافی‌های رمزارز، کیف پول‌ها، ایمیل‌ها، و شبکه‌های اجتماعی. با استفاده از گزینه “فراموشی رمز عبور” و دریافت کدهای تایید که به شماره تلفن منتقل شده ارسال می‌شوند، مهاجم می‌تواند به این حساب‌ها دسترسی پیدا کند.

مرحله پنجم: سرقت دارایی‌ها

پس از دسترسی به حساب صرافی یا کیف پول رمزارز، مهاجم به سرعت تمام دارایی‌های قربانی را به کیف پول رمزنگاری شده خود منتقل می‌کند. از آنجایی که تراکنش‌های رمزارزی معمولاً غیرقال بازگشت هستند، این اقدام ضرر جبران‌ناپذیری به قربانی وارد می‌کند.

چگونه از خود در برابر سیم سواپینگ محافظت کنیم؟

محافظت در برابر سیم سواپینگ نیاز به هوشیاری و اقدامات پیشگیرانه دارد. در اینجا چند راهکار مهم آورده شده است:

1. با اپراتور تلفن همراه خود تماس بگیرید و اقدامات امنیتی اضافی را درخواست کنید

یکی از قوی‌ترین اقدامات این است که با اپراتور خود تماس بگیرید و درخواست کنید که لایه‌های امنیتی اضافی به حساب شما اضافه کنند. این لایه‌ها می‌توانند شامل موارد زیر باشند:

  • تعیین رمز عبور یا پین برای حساب اپراتور: در بسیاری از اپراتورها می‌توانید یک پین یا رمز عبور خاص برای حساب خود تعیین کنید. در این صورت، هرگونه تغییر یا انتقالی در حساب شما (مانند درخواست سیم سواپینگ) فقط با ارائه این رمز ممکن خواهد بود. تاکید کنید که بدون ارائه این رمز، هیچ گونه تغییری نباید در حساب شما انجام شود، حتی اگر اطلاعات شخصی دیگر به درستی ارائه شود.
  • درخواست یادداشت امنیتی: از اپراتور بخواهید که روی حساب شما یک یادداشت امنیتی قرار دهد که نشان دهد این حساب در معرض خطر سیم سواپینگ است و باید نهایت دقت در هنگام درخواست‌های تغییر انجام شود.
  • محدود کردن امکان پورت اوت (Port Out): سوال کنید که آیا امکان محدود کردن یا پیچیده‌تر کردن فرایند انتقال شماره به اپراتور دیگر وجود دارد.

پس از تماس با اپراتور، مطمئن شوید که این اقدامات در سیستم آن‌ها ثبت شده و از آن‌ها تاییدیه دریافت کنید. به خاطر داشته باشید که ممکن است لازم باشد به صورت دوره‌ای این تنظیمات را بررسی کنید.

2. از تایید دو مرحله‌ای مبتنی بر پیامک (SMS-based 2FA) دوری کنید

همانطور که ذکر شد، تایید دو مرحله‌ای مبتنی بر پیامک یکی از نقاط ضعف اصلی در برابر سیم سواپینگ است. هرچند بهتر از نداشتن هیچ نوع تایید دو مرحله‌ای است، اما در مقابل سیم سواپینگ آسیب‌پذیر است.

به جای آن، از روش‌های امن‌تر 2FA استفاده کنید:

  • اپلیکیشن‌های احراز هویت (Authenticator Apps): اپلیکیشن‌هایی مانند Google Authenticator، Microsoft Authenticator، یا Authy کدهای یک‌بار مصرف (TOTP – Time-based One-Time Password) تولید می‌کنند که هر ۳۰ یا ۶۰ ثانیه تغییر می‌کنند. این کدها روی دستگاه شما (تلفن همراه) تولید می‌شوند و به سیم‌کارتتان وابسته نیستند. برای استفاده از این روش، پس از فعال‌سازی، دیگر نیازی به دریافت پیامک برای ورود یا تراکنش‌ها ندارید.
  • کلیدهای امنیتی سخت‌افزاری (Hardware Security Keys): دستگاه‌هایی مانند YubiKey یا Ledger Nano X می‌توانند به عنوان لایه امنیتی بسیار قوی استفاده شوند. این کلیدها معمولاً از طریق اتصال USB یا بلوتوث به دستگاه شما متصل می‌شوند و برای ورود به حساب یا تایید تراکنش‌ها به حضور فیزیکی آن‌ها نیاز است. این روش به مراتب از اپلیکیشن‌های احراز هویت نیز امن‌تر است و عملاً در برابر سیم سواپینگ آسیب‌ناپذیر است، مگر اینکه مهاجم به صورت فیزیکی به کلید امنیتی شما دسترسی پیدا کند.

تا حد امکان، SMS-based 2FA را برای حساب‌های حساس، به خصوص حساب‌های رمزارزی، غیرفعال و آن را با یکی از روش‌های امن‌تر جایگزین کنید.

3. اطلاعات شخصی خود را با دقت مدیریت کنید

هر چه اطلاعات کمتری از شما در فضای آنلاین یا در دسترس عموم باشد، جمع‌آوری اطلاعات لازم برای سیم سواپینگ توسط مهاجمان دشوارتر خواهد بود.

  • در شبکه‌های اجتماعی محتاط باشید: اطلاعاتی مانند تاریخ تولد کامل، آدرس محل کار یا زندگی، نام حیوانات خانگی (که ممکن است پاسخ سوالات امنیتی باشند)، یا حتی اطلاعات جزئی در مورد خانواده را به صورت عمومی منتشر نکنید.
  • مراقب ایمیل‌ها و پیام‌های مشکوک باشید: هرگز روی لینک‌های موجود در ایمیل‌ها یا پیامک‌های ناشناس کلیک نکنید. اطلاعات شخصی یا اطلاعات ورود به حساب‌هایتان را در پاسخ به ایمیل یا پیامک درخواست کننده وارد نکنید، حتی اگر به نظر می‌رسد از سوی یک نهاد معتبر باشد (بسیاری از این پیام‌ها فیشینگ هستند).
  • از رمزهای عبور پیچیده و مجزا استفاده کنید: برای هر سرویس یک رمز عبور منحصر به فرد و قوی (ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها) استفاده کنید. از یک مدیر رمز عبور (Password Manager) معتبر برای نگهداری امن رمزهایتان استفاده کنید.
  • وب‌سایت‌ها و سرویس‌هایی که هک شده‌اند را بررسی کنید: از ابزارهایی مانند Have I Been Pwned استفاده کنید تا ببینید آیا اطلاعات شما در نتیجه نشت اطلاعات در سرویس‌های مختلف لو رفته است یا خیر.

4. هشیار باشید و به علائم هشداردهنده توجه کنید

سیم سواپینگ معمولاً بدون اطلاع قبلی شما اتفاق نمی‌افتد. به علائم زیر توجه کنید:

  • قطع ناگهانی سرویس تلفن همراه: اگر بدون دلیل مشخصی سرویس تلفن همراه شما (امکان تماس، ارسال پیامک، اینترنت موبایل) قطع شد، بلافاصله با اپراتور خود تماس بگیرید. این می‌تواند اولین نشانه سیم سواپینگ موفقیت‌آمیز باشد.
  • دریافت پیامک‌های مشکوک از اپراتور یا سرویس‌های دیگر: پیامک‌هایی مبنی بر درخواست انتقال شماره، تغییر سیم‌کارت، یا ورود به حساب کاربری که خودتان انجام نداده‌اید، نشانه‌های خطرناکی هستند.
  • فعالیت‌های مشکوک در حساب‌های آنلاین: اگر ایمیل‌های هشداردهنده درباره ورود به حساب از مکان‌های ناشناس، درخواست تغییر رمز عبور، یا فعالیت‌های غیرعادی در حساب‌های رمزارزی یا بانکی خود دریافت کردید، فوراً آن‌ها را بررسی کنید.

در صورت مشاهده هر یک از این علائم، فوراً با اپراتور تلفن همراه خود تماس بگیرید و وضعیت خط خود را بررسی کنید. همچنین، به سرعت تمام حساب‌های مالی و رمزارزی خود را بررسی کنید و در صورت امکان رمز عبور و روش‌های احراز هویت آن‌ها را تغییر دهید.

5. از شماره تلفن خود برای بازیابی حساب‌های حساس رمزارزی استفاده نکنید

در تنظیمات امنیتی حساب‌های صرافی و کیف پول رمزارزی خود، اطمینان حاصل کنید که امکان بازیابی رمز عبور یا دسترسی به حساب صرفاً با استفاده از شماره تلفن شما فعال نباشد. از ایمیل (با فعال‌سازی 2FA برای ایمیل خود) و ترجیحاً کدهای پشتیبان (Backup Codes) یا کلیدهای امنیتی سخت‌افزاری برای بازیابی استفاده کنید.

اگر قربانی سیم سواپینگ شدید، چه باید بکنید؟

اگر متوجه شدید که قربانی سیم سواپینگ شده‌اید (سیم‌کارت شما قطع شده و مشکوک هستید)، فوراً اقدامات زیر را انجام دهید:

  • با اپراتور تلفن همراه خود تماس بگیرید: بلافاصله با اپراتور تماس بگیرید، وضعیت را توضیح دهید و درخواست کنید که شماره شما از سیم‌کارت مهاجم قطع و به سیم‌کارت جدید شما منتقل شود. سعی کنید با بخش امنیتی یا ضد کلاهبرداری اپراتور ارتباط بگیرید.
  • با بانک‌ها و موسسات مالی خود تماس بگیرید: به بانک‌ها، صرافی‌های رمزارز و سایر موسسات مالی که با شماره تلفن شما کار می‌کنند اطلاع دهید که شماره شما به خطر افتاده است. از آن‌ها درخواست کنید تا فعالیت در حساب‌های شما را تا اطلاع ثانوی متوقف یا محدود کنند.
  • رمز عبور تمام حساب‌های آنلاین خود را تغییر دهید: پس از اینکه توانستید کنترل شماره تلفن خود را بازیابی کنید یا از دستگاهی دیگر، بلافاصله رمز عبور تمام حساب‌های مهم خود (ایمیل اصلی، صرافی‌ها، کیف پول‌ها، شبکه‌های اجتماعی) را تغییر دهید. از دستگاهی امن برای این کار استفاده کنید.
  • 2FA را با روش‌های امن‌تر جایگزین کنید: به سرعت روش‌های تایید هویت دو مرحله‌ای مبتنی بر پیامک را با اپلیکیشن‌های احراز هویت یا کلیدهای امنیتی سخت‌افزاری جایگزین کنید.
  • به پلیس یا مراجع قضایی گزارش دهید: کلاهبرداری سیم سواپینگ یک جرم است. این موضوع را به پلیس و مراجع قانونی کشور خود اطلاع دهید. هرچند ممکن است بازیابی دارایی‌ها دشوار باشد، اما گزارش دادن می‌تواند به دستگیری مجرمان و جلوگیری از کلاهبرداری‌های مشابه در آینده کمک کند.
  • خدمات رصد اعتبار (Credit Monitoring) را فعال کنید: مهاجم با دسترسی به اطلاعات شما ممکن است سعی در باز کردن حساب‌های جدید یا گرفتن وام با نام شما کند. فعال کردن خدمات رصد اعتبار می‌تواند به شما در شناسایی این فعالیت‌های مشکوک کمک کند.

بخش فنی: چرا 2FA مبتنی بر پیامک ضعیف است؟

از دیدگاه فنی، مشکل اصلی 2FA مبتنی بر پیامک این است که به یک سیستم جداگانه (اپراتور تلفن همراه) وابسته است که شما کنترل کاملی روی آن ندارید. در مقابل:

  • اپلیکیشن‌های احراز هویت (TOTP): این اپلیکیشن‌ها نیازی به اتصال به شبکه تلفن همراه برای تولید کد ندارند. کدهای آن‌ها بر اساس زمان و یک کلید مخفی که هنگام راه‌اندازی بین شما و سرویس مورد نظر به اشتراک گذاشته می‌شود تولید می‌شوند. این کلید مخفی هرگز از دستگاه شما خارج نمی‌شود (مگر اینکه بک‌آپ بگیرید). مهاجم برای تولید کد، به آن کلید مخفی نیاز دارد که به سادگی با سیم سواپینگ به دست نمی‌آید.
  • کلیدهای امنیتی سخت‌افزاری (Hardware Keys): این روش از پروتکل‌های رمزنگاری قوی مانند FIDO/U2F استفاده می‌کند. در این روش، دستگاه شما (کامپیوتر یا تلفن همراه) با کلید امنیتی و سرویس (مثلاً صرافی) ارتباط برقرار می‌کند. کلید خصوصی شما هرگز از کلید سخت‌افزاری خارج نمی‌شود. برای تایید هویت، کلید سخت‌افزاری یک امضای دیجیتال تولید می‌کند که فقط توسط سرویس مورد نظر قابل تایید است. این فرایند عملاً به شماره تلفن شما بی‌ربط است و در برابر تلاش‌های مهندسی اجتماعی یا دسترسی از راه دور مقاوم است.

وابستگی SMS-based 2FA به لایه شبکه تلفن همراه، آن را در برابر نقاط ضعف آن شبکه، از جمله اقدامات اپراتور (ولو به صورت سهوی یا با سهل‌انگاری) آسیب‌پذیر می‌کند. اپراتورها هم هدف حملات مهندسی اجتماعی یا حتی نفوذ مستقیم قرار می‌گیرند.

جمع بندی

دوستان عزیز یومیکسی، همونطور که دیدیم، دنیای رمزارزها با همه هیجان و فرصت‌هاش، چالش‌های امنیتی خاص خودشو هم داره. سیم سواپینگ یکی از اون چالش‌های جدیه که می‌تونه دارایی‌های به دست آمده با زحمت شما رو در یک چشم به هم زدن از بین ببره.

اما خبر خوب اینه که با افزایش آگاهی و رعایت نکات امنیتی گفته شده، می‌تونیم ریسک قربانی شدن در برابر این نوع کلاهبرداری رو به شدت کاهش بدیم.

همیشه امنیت رو در اولویت قرار بدید، به اطلاعات شخصی‌تون حساس باشید و از روش‌های احراز هویت قوی‌تر مثل اپلیکیشن‌های Authenticator و کلیدهای سخت‌افزاری استفاده کنید. با انجام این کارها، شما نه تنها دارایی‌های رمزارز خودتون رو امن‌تر نگه می‌دارید، بلکه امنیت کلی زندگی دیجیتال خودتون رو هم افزایش می‌دید.

ممنون که با ما همراه بودید. اگه سوالی دارید یا تجربه‌ای در این زمینه داشتید، حتما در بخش نظرات با ما و بقیه به اشتراک بذارید.

شاهین کاوه

Related Posts

3:28 ب.ظ
مفهوم DigiByte: بررسی جامع ارز دیجیتال پ ...
6:35 ب.ظ
7:47 ب.ظ

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یومیکس در شبکه‌های اجتماعی

X (Twitter)252FollowersFollowInstagram1,000FollowersFollowTelegram1,000MembersJoin

دسته بندی مطالب