מתקפת החלפת SIM הינה מתקפת סייבר בה מטעים פושעי סייבר אנשי צוות תמיכה בלקוחות מפעיל סלולרי, כדי לתת להם שליטה על מספר הטלפון של מישהו אחר. הדבר מאפשר לפושעי הסייבר לקבל את שיחות הטלפון והודעות ה- SMS של הקורבן, כולל אסימוני אימות דו גורמי. שתי חברות ביטוח אמריקאיות מזהירות כי מידע אישי של אלפי אנשים נגנב לאחר שהאקרים פרצו למערכות מחשוב: Washington National Insurance ו- Bankers Life, שתיהן חברות בנות של CNO Financial Group, היו מטרות למתקפות החלפת SIM בנובמבר 2023.
מכתב התראה אודות דלף המידע שנשלח על ידי Washington National Insurance ל- 20,360 אנשים שנפגעו ממתקפת הסייבר, מסביר כי מתקפת החלפת SIM על מספר טלפון אפשרה לפושעי סייבר לעקוף אימות רב גורמי. הלקוחות הוזהרו כי נחשף מידע אישי הכולל שמות, מספרי תעודת זהות, תאריכי לידה ומספרי פוליסה. Bankers Life שלחה מכתב התראה דומה ל- 45,842 לקוחותיה. בשורה התחתונה, המידע האישי של כ- 66,000 אנשים נמצא כעת בידי פושעי סייבר העלולים להשתמש בו למטרות הונאה או ביצוע מתקפות סייבר נוספות.
מתקפות החלפת SIM אינן חדשות, כאשר פושעי סייבר משתמשים בשיטה זו כדי לפרוץ למערכות מחשוב, בין אם על מנת לשתול כופרה, לגנוב מידע, או לגנוב מטבעות קריפטוגרפיים. אימות דו גורמי מבוסס SMS הוא פחות מאובטח מאפליקציות אימות עם סיסמאות חד פעמיות מבוססות זמן (TOTP) או מפתחות חומרה. עם זאת, חברות עדיין משאירות את עצמן פתוחות להחלפת SIM. היות ומתקפות החלפת SIM כל כך נפוצות וקלות לביצוע, על ארגונים ויחידים להימנע מקישור חשבונות למספר הטלפון שלהם. כמו כן, עליהם להוסיף שכבות נוספות של אבטחת מידע לחשבונות הסלולר שלהם, כדי להקשות על פושעי סייבר להערים על מפעיל סלולרי למסור מידע.
