SIM-kaappaukset: Tämä sinun tulee tietää pysyäksesi turvassa

Oma puhelinnumerosi on tärkeämpi kuin luuletkaan: nykyään se toimii avaimena pankkitilisi, sähköpostisi, kryptolompakkosi ja sometiliesi palauttamiseen. Tämä kätevä menetelmä tuo mukanaan myös riskejä, koska rikolliset voivat kaapata numerosi koskematta missään vaiheessa puhelimeesi, ja sitä kautta he voivat murtautua kaikille niille tileillesi, jotka käyttävät tekstiviestillä lähetettäviä koodeja kirjautumiseen. He voivat nollata salasanasi, päästä tileillesi ja jopa sulkea sinut oman digitaalisen identiteettisi ulkopuolelle.

Tätä menetelmää kutsutaan SIM-kaappaukseksi (eng. ”SIM swapping”), ja pelkästään vuonna 2023 se aiheutti yhdysvaltalaisille lähes 49 miljoonan dollarin menetykset. Äskettäin paljastui myös, että yksi historian suurimmista kryptovarkauksista toteutettiin SIM-kaappauksen avulla: FTX-kryptopörssistä varastettiin omaisuutta 400 miljoonan dollarin arvosta.

Tämä opas selittää, mitä SIM-kaappaus on, miten se toimii, miten varoitusmerkit tunnistetaan, ja mikä tärkeintä: kuinka se estetään. Kenties olet jo kenties havainnut tililläsi epäilyttävää toimintaa tai haluat vain muuten vain pysyä turvassa – tästä löydät selkeät ja käytännölliset ohjeet, joita voit soveltaa heti.

Mikä on SIM-kortti ja miten se toimii?

SIM-kortti on sormenpään kokoinen siru, jonka avulla käyttämäsi verkko tunnistaa sinut tarkistamalla nämä kaksi asiaa:

1. Henkilöllisyys ja sijainti: SIM-kortti sisältää IMSI-tunnuksen (”International Mobile Subscriber Identity”) sekä ICCID-tunnuksen (”Integrated Circuit Card Identifier”). IMSI yksilöi liittymäsi verkossa, ICCID puolestaan on fyysisesti SIM-korttiin kytketty tunnus. Näiden avulla mobiiliverkko voi tunnistaa sinut ja hallita yhteyttäsi.
2. Turva-avaimet: SIM-kortti sisältää salausavaimia, joita käytetään laitteen todentamiseen ennen jokaista puhelua, tekstiviestiä tai datayhteyttä. Nämä avaimet toimivat jaettuna salaisuutena SIM-kortin ja verkon välillä, mahdollistaen turvallisen henkilöllisuuden todentamisen niiden. Tämä "salasanavaihto” tapahtuu taustalla aina, kun puhelimesi muodostaa yhteyden verkkoon, jolloin varmistetaan, että vain valtuutetut laitteet pääsevät käyttämään mobiilipalveluita.

Ilman voimassa olevaa SIM-profiilia verkko ei ohjaa puheluita, viestejä tai dataa. Kun siirrät SIM-kortin uuteen puhelimeen, henkilöllisyytesi siirtyy sen mukana. Sähköisten eSIM-korttien myötä myötä numeron siirto onnistuu digitaalisesti operaattorin kautta ilman fyysistä korttia. Juuri tämä helppo siirrettävyys tekee SIM-kaappauksista mahdollisia.

Mitä on SIM-kaappaus?

SIM-kaappaus, tai joskus nimellä SIM-swapping, SIM-jacking tai SIM-porttaus, tarkoittaa sitä, että jokin hyökkääjä huijaa tai lahjoo operaattorisi siirtämään puhelinnumerosi omalta SIM-kortiltasi hyökkääjän SIM-kortille.
Kun siirto on suoritettu, kaikki puhelut ja tekstiviestikoodit, jotka on alun perin tarkoitettu sinulle, ohjautuvatkin hyökkääjän puhelimeen. Näillä kertakäyttökoodeilla hyökkääjä voi nollata salasanoja, tyhjentää pankkitilejä tai ostaa kryptovaluuttaa sinun nimissäsi.

Hyökkäyksen kohteeksi on helppo joutua. Puhelinnumerosi on liitetty useampaan tiliin kuin uskotkaan. Jos huijari saa numerosi haltuunsa, hän kaappaa numeron lisäksi paljon muutakin; koko digitaalisen identiteettisi. Puretaanpa tämä auki.

Miten SIM-kaappaus toimii?

Hyökkääjät noudattavat tyypillisesti nelivaiheista kaavaa:

1. Datan louhinta: He etsivät tietoa julkisista somepostauksista, lähettävät tietojenkalastelusähköposteja tai käyttävät tietovuodoissa paljastunutta tietoa selvittääkseen syntymäaikasi, osoitteesi ja vastaukset yleisiin turvakysymyksiin.
2. Yhteydenotto operaattoriin: Näitä tietoja hyödyntämällä he esiintyvät sinuna chat-asiakastuessa tai puhelinpalvelussa ja väittävät esimerkiksi tällaista: ”Puhelimeni varastettiin ja tarvitsen uuden SIM-kortin”. Operaattorin huijaaminen tässä vaiheessa edellyttää usein henkilöllisyyden varmistusmenetelmien ohittamista. Nämä menetelmät vaihtelevat maakohtaisesti, riippuen paikallisesta SIM-rekisteröintilainsäädännöstä.
3. Numeron siirto: Jos asiakaspalvelija uskoo huijarin kertoman tarinan, hän siirtää puhelinnumerosi uudelle SIM- tai eSIM-profiilille, katkaisten palvelun laitteeltasi. Tästä hetkestä alkaen kaikki puhelut ja tekstiviestit ohjautuvat hyökkääjän laitteeseen.
4. Tilien kaappaus: Jos tilisi käyttävät tekstiviestiin perustuvaa kaksivaiheista tunnistautumista, hyökkääjät voivat käyttää näitä koodeja nollatakseen salasanasi, tyhjentääkseen pankkitilisi tai tehdäkseen kryptokauppoja sinun nimissäsi.

Joissakin harvinaisemmissa tapauksissa SIM-kaappauksen toteuttaa joku sisäpiiriläinen, esimerkiksi operaattorin työntekijä, joka on lahjottu tekemään siirto. Menetelmästä riippumatta lopputulos on sama: digitaalinen elämäsi siirtyy jonkun toisen laitteelle.

💡Vinkki: Toimi ennakoivasti. Jos asut Yhdysvalloissa, niin ExpressVPN:n tietojenpoistopalvelu (osa Identity Defender -pakettia) voi auttaa rajoittamaan sitä sinuun liittyvää tietomäärää, joka on erilaisten datayhtiöiden hallussa. Tätä palvelua hyödyntämällä voit estää hyökkääjiä keräämästä sinusta tarpeeksi esitietoja hyökkäyksen toteuttamista varten.

SIM-kaappauksesta kertovia tunnusmerkkejä

Näin tunnistat joutuneesi mahdollisen SIM-kaappauksen uhriksi:

Menetät yhtäkkiä mobiiliverkon yhteyden

Yksi selvimmistä merkeistä on äkillinen yhteyden katoaminen. Puhelin näyttää "Ei palvelua” tai "Vain hätäpuhelut”, vaikka olet alueella, jossa on normaalisti hyvä kuuluvuus ja kaikki liittymälaskusi on maksettu. Jos puhelimen uudelleenkäynnistys ei korjaa ongelmaa, numerosi on voitu siirtää toiselle SIM-kortille.

Et voi lähettää tai vastaanottaa viestejä tai puheluita

Jos yhteys mobiiliverkkoon on katkennut, et voi soittaa tai lähettää ja vastaanottaa tavallisia SMS-viestejä. Tämä pätee riippumatta siitä, onko käytössäsi mobiilidataa tai oletko WiFi-verkossa, koska puhelut ja tekstiviestit kulkevat mobiiliverkon kautta.

Epäilyttävää toimintaa pankki- tai sometileillä

SIM-kaappaajat toimivat nopeasti. Saatuaan numerosi haltuunsa he yrittävät heti murtautua tileihin, jotka käyttävät tekstiviestipohjaisia turvakoodeja. Saatat huomata useita salasanan nollausviestejä, kirjautumisia oudoista sijainneista tai ilmoituksia tilisiirroista, jota et ole itse tehnyt.

Ilmoitus numerosi aktivoinnista uudella laitteella

Joissain maissa operaattorit lähettävät varoituksen, kuten "SIM-kortin vaihto käynnissä” tai viestin, jossa kerrotaan, että numerosi on aktivoitu uudella laitteella. Jos saat odottamatta tällaisen ilmoituksen, numerosi saattaa olla hyökkäyksen kohteena. Älä koskaan hyväksy sellaista vahvistuspyyntöä, jota et odottanut saavasi.

Mitä tehdä, jos SIM-korttisi kaapataan

Tärkeintä on toimia nopeasti. Kun huomaat, että mobiiliyhteytesi on katkennut tai tililläsi tapahtuu jotain outoa, toimi seuraavasti ja pidä muistiinpanoja jokaisesta vaiheesta:

1. Soita operaattorillesi

Käytä toista puhelinta ottaaksesi yhteyttä asiakastukeen ja kerro mahdollisesta SIM-kaappauksesta. Pyydä asiakaspalvelijaa keskeyttämään SIM-kortin vaihto ja palauttamaan numerosi takaisin hallussasi olevalle SIM- tai eSIM-kortille. Kirjaa ylös päivämäärä, kellonaika ja asiakaspalvelijan nimi.

2. Suojaa pankkitilisi

Soita seuraavaksi pankkiisi tai luottokorttisi myöntäjälle. Selitä tilanne, jäädytä kaikki maksut ja käy viimeaikaiset tapahtumat läpi asiakaspalvelijan kanssa. Jos huomaat luvattomia siirtoja, aloita reklamaatioprosessi heti. Pidä reaaliaikaiset kulutusilmoitukset päällä, jotta mitkään uudet veloitukset eivät jää sinulta huomaamatta.

💡Vinkki: Yhdysvalloissa asuvat käyttäjät voivat hyödyntää myös ExpressVPN:n Identity Defender -palvelua ja siihen sisältyvää luottovalvontaa, joka seuraa jatkuvasti luottotietoraporttejasi ja varoittaa epäilyttävistä uusista tileistä tai tapahtumista.

3. Vaihda salasanat ja siirry pois tekstiviestipohjaisesta tunnistautumisesta

Aloita ensisijaisesta sähköpostitilistäsi ja jatka sitten pankkiin, sosiaaliseen mediaan ja pilvipalveluihin. Vaihda kaikki salasanasi ja korvaa tekstiviestikoodien kautta tapahtuva kirjautuminen siirtymällä erilliseen todennussovellukseen, kuten Google Authenticatoriin, jota hyökkääjä ei voi kaapata haltuunsa. Kun operaattori palauttaa liittymäsi, ota kaksivaiheinen tunnistautuminen uudelleen käyttöön uudella menetelmällä, jotta pysyt turvassa myös jatkossa.

4. Tee rikosilmoitus

Ilmoita tapahtuneesta poliisille. Ilmoita poliisilta saamasi rikostutkinnan viitenumero pankillesi ja operaattorillesi; virallinen ilmoitus usein nopeuttaa korvaus- ja tutkintaprosesseja.

5. Pidä kirjaa kaikista vaiheista

Kirjaa jokainen puhelu, tukipyyntö ja luvattu toimenpide, ja varmista eteneminen 24 tunnin sisällä. Selkeä aikajana auttaa ratkaisemaan mahdolliset erimielisyydet myöhemmin ja osoittaa sen, että seuraat tapausta aktiivisesti.

Kuinka SIM-kaappauksen voi estää

Älä liitä puhelinnumeroasi käyttäjätileihin

Vältä käyttämästä puhelinnumeroasi kirjautumis- tai palautusmenetelmänä aina kun tämä on mahdollista. Käytä sen sijaan sähköpostiosoitetta tai todennussovellusta tilillesi kirjautumiseen ja tunnustesi palauttamiseen. Tämä vähentää puhelinnumerosi kaappauksesta aiheutuvia vahinkoja. Muista kuitenkin, että myös sähköpostitilit voivat joutua hakkereiden kohteeksi, minkä vuoksi erillinen todennussovellus on näistä kahdesta vaihtoehdosta turvallisempi.

Käytä monivaiheista todennusta

Pelkkää salasanaa ei kannata käyttää, vaan suojaudu sen sijaan monivaiheisella todennuksella (MFA):

• Todennussovellukset: Sovellukset, kuten Google Authenticator, Authy tai Microsoft Authenticator, luovat kirjautumiskoodeja suoraan omalla laitteellasi, eivät tekstiviestillä. Tämän ansiosta suojaus pysyy vahvana myös SIM-kaappauksen aikana – vaikka joku saisi numerosi haltuunsa, sovelluksen 2FA-koodit näkyvät edelleen ainoastaan omalla laitteellasi.
• Biometrinen tunnistautuminen: Monet laitteet ja sovellukset tarjoavat mahdollisuuden sormenjälki- tai kasvojentunnistuksen käyttämiseen, mikä lisää suojausta laitetasolla. Tämä estää pääsyn tiettyihin sovelluksiin tai toimintoihin, vaikka joku saisi puhelinnumerosi haltuunsa.
• Fyysiset turva-avaimet: YubiKeyn kaltaiset laitteet tarjoavat erittäin turvallisen todennustavan. Ne perustuvat fyysiseen vuorovaikutukseen ja käyttävät kryptografisia avaimia, joten niiden murtaminen on erittäin vaikeaa. Ne sopivat erityisen hyvin sähköposti- ja pankkitilien suojaamiseen.

Pyydä operaattoriltasi tilikohtainen PIN tai lukitus

Useimmat operaattorit tarjoavat mahdollisuuden asettaa tilikohtaisen PIN-koodin tai turvakysymyksen, mikä vaikeuttaa hyökkääjien pyrkimyksiä esiintyä sinuna.

Joskus saatavilla on myös puhelinnumeron tai tilin lukitus, mikä lisää ylimääräisen vahvistusvaiheen ennen kuin numero voidaan siirtää toiselle SIM-kortille.

Monet operaattorit myös soittavat rekisteröityyn numeroosi ennen SIM-muutosten hyväksymistä, mikä pysäyttää luvattomasti käynnistetyt SIM-vaihdot.

Ota käyttöön ilmoitukset tileilläsi

Monet pankit ja verkkopalvelut lähettävät halutessasi ilmoituksen kaikista kirjautumisyrityksistä, salasanan vaihdoista tai tilisiirroista. Näitä ilmoituksia käyttämällä voit saada nopeasti varoituksen, jos jotain epäilyttävää on meneillään.

Tarkista tärkeimmät tilisi säännöllisesti

Käy läpi pankki-, sähköposti- ja sometiliesi suojausasetukset. Tarkista, onko luvattomia kirjautumisia havaittu, päivitä palautusmenetelmät ja selvitä, mitkä tilit käyttävät puhelinnumeroasi kirjautumiseen tai tunnusten palautukseen.

Noudata turvallisen netinkäytön periaatteita

Mainittakoon lopuksi, että järkevät toimintatavat netissä auttavat estämään suurimman osan SIM-kaappauksista jo ennen hyökkäyksen käynnistymistä.

• Pysähdy ennen klikkaamista: Älä avaa yllättäviä linkkejä tai liitetiedostoja, vaikka viesti näyttäisi tutulta. Näin estät huijareita saamasta henkilökohtaisia vihjeitä, joita he voisivat käyttää esiintyessään sinuna operaattorille.
• Pidä henkilötiedot yksityisinä: Älä julkaise tai jaa puhelinnumeroasi, osoitettasi tai henkilötunnuksiasi julkisilla sivustoilla. Mitä vähemmän sinusta on saatavilla tietoa, sitä vaikeampi huijareiden on läpäistä operaattorin turvatarkistus.
• Varmista aina soittajan henkilöllisyys: Jos joku väittää soittavansa operaattoriltasi, lopeta tämä puhelu ja soita itse operaattorin viralliseen asiakaspalvelunumeroon. Soittaminen vahvistettuun numeroon estää sosiaaliseen manipulointiin luottavia huijareita kaappaamasta liittymääsi reaaliajassa.
• Älä koskaan luovuta tilitietojasi: Operaattorisi ei koskaan pyydä salasanoja, PIN-koodeja tai pankkitietoja puhelimitse, sähköpostilla tai tekstiviestillä. Näiden tietojen suojaaminen pitää hyökkääjät loitolla.
• Käytä jokaisessa palvelussa eri salasanaa: Kun käytät yksilöllisiä salasanoja kaikilla tileilläsi, myös operaattoritililläsi, minimoit mahdollisesta tietomurrosta aiheutuvan vahingon. Jos yhdellä sivustolla käyttämäsi salasana paljastuu, rikolliset eivät pääse käsiksi muihin tärkeisiin tileihisi. Salasanaohjelma, esimerkiksi ExpressVPN Keys, auttaa luomaan ja säilyttämään vahvoja salasanoja ilman, että sinun tarvitsee kierrättää samaa salasanaa kaikilla tileilläsi.
• Vältä automaattista täyttöä sovelluksissa: Älä käytä selaimiin ja sovelluksiin sisäänrakennettuja toimintoja, jotka täyttävät kirjautumiskentät puolestasi. Ne eivät ole niin turvallisia kuin erillinen salasanaohjelma. Jos puhelimesi katoaa tai saa haittaohjelmatartunnan, sovelluksiin tallennetut täyttötiedot voivat antaa hyökkääjille vapaan pääsyn tileillesi.

Tosielämän esimerkkejä SIM-kaappauksista (ja niiden vahingollisuudesta)

SIM-kaappaukset eivät ole vain tekninen ongelma, vaan omalle kohdalle sattuessa kyseessä on äärimmäisen henkilökohtainen onnettomuus. Monille uhreille tämä kaikki alkaa pienistä verkkohäiriöstä ja tilanne etenee pian rahojen menetykseen, maineen pilaantumiseen vuosia kestävään toipumisprosessiin.

Otetaanpa esimerkiksi Jack Dorsey, Twitterin entinen toimitusjohtaja. Vuonna 2019 hyökkääjät onnistuivat ottamaan hänen puhelinnumeronsa haltuunsa SIM-kaappauksen avulla. Twitterin tekstiviestipohjaista julkaisupalvelua hyödyntämällä nämä hyökkääjät lähettivät loukkaavia twiittejä hänen tililtään. Numeron kaappaus korjattiin vain muutamassa minuutissa, mutta vahinko ehti tapahtua ja se nousi otsikoihin ympäri maailmaa ja paljasti, kuinka haavoittuvaisia jopa suurimmat teknologiavaikuttajat voivat olla.

Toinen esimerkki on Michael Terpin, eräs kryptosijoittaja, joka menetti yli 20 miljoonaa dollaria puhelinnumeron kaappauksessa. Hyökkääjä ohitti tilin turvajärjestelmän, pääsi käsiksi hänen kryptolompakkoonsa ja tyhjensi sen. Terpin haastoi myöhemmin mobiilioperaattorinsa oikeuteen väittäen, että heikot sisäiset turvakäytännöt mahdollistivat varkauden.

Nämä eivät ole yksittäistapauksia. SIM-kaappauksia on havaittu osana laajamittaisia hyökkäyksiä, jotka kohdistuvat niin julkisuuden henkilöihin kuin tavallisiin käyttäjiin. Hyökkääjät voivat saada aikaan esimerkiksi tällaista vahinkoa:

• Identiteettivarkaus: Kun joku saa numerosi haltuunsa, hän voi esiintyä verkossa sinuna, ottaa haltuun sähköpostisi, kirjautua pankkitilillesi ja nollata salasanojasi. Hän voi myös käyttää tileiltäsi löytyviä tietoja esimerkiksi tehdäkseen lainasopimuksia sinun nimissäsi.
• Taloudelliset menetykset: Kaapattu numero voi johtaa tyhjennettyihin pankkitileihin, luvattomiin korttiostoihin ja kryptovaluuttojen menetyksiin. Jos pankkitilisi on pelkän tekstiviestipohjaisen tunnistuskoodin varassa, niin SIM-kaappaus antaa huijareille juuri sen, mitä he tarvitsevat.
• Yksityisyyden loukkaukset: Onnistunut SIM-kaappaus voi paljastaa tekstiviestisi, pilvipalveluihin tallentamasi valokuvat ja kaikki yhteystietosi. Hyökkääjä voi viestitellä tuttavillesi, pyytää pääsykoodeja tai lukea keskustelujasi täysin tietämättäsi.
• Maineen vahingoittuminen: Jos joku käyttää numeroasi lähettääkseen viestejä tai tai tehdäkseen somepostauksia sinun nimelläsi, hän voi esittää sinut hyvin vahingollisessa valossa. Pahimmillaan tämä voi johtaa ihmissuhteiden katkeamiseen ja työpaikan menetykseen.

SIM-kaappaus voi avata hyökkääjälle pääsyn digitaaliseen elämääsi, mutta vahinkoja on mahdollista rajoittaa. Yhdysvalloissa saatavilla oleva ExpressVPN:n Identity Defender -palvelu valvoo pimeää verkkoa, etsien sieltä sähköpostiosoitteeseesi, salasanaasi tai puhelinnumeroosi liittyviä tietovuotoja. Jos tietosi vaarantuvat SIM-kaappauksen takia, palvelu lähettää sinulle nopeasti hälytyksen, jolloin ehdit suojata tilisi, rajoittaa taloudellisia menetyksiä ja minimoida vahingot pitkällä aikavälillä.

Loppusanat: Pysy askeleen verran edellä huijareita

Varastettu puhelinnumero ei ole vain pieni ärsytyksen aihe, vaan koko digitaalisen elämäsi on silloin uhattuna. Puhelinnumerolla pääsee sisään lähes kaikkialle, sosiaalisesta mediasta sähköpostiin ja pankkitileihin asti. Siksi suojautuminen on äärimmäisen tärkeää.

Käytä tunnistautumissovelluksia, aseta tilillesi PIN-koodi, vältä numeron käyttöä kirjautumiseen ja pysy valppaana epäilyttävän toiminnan varalta. Ennaltaehkäisy vie vain muutaman minuutin, kun taas identiteettivarkaudesta toipuminen voi kestää vuosia.

VPN ei estä SIM-kaappauksia, mutta se on silti järkevä tapa suojata netinkäyttöä, erityisesti julkisissa WiFi-verkoissa. ExpressVPN salaa kaiken tietoliikenteesi ja lisää yksityisyydellesi vahvan suojakerroksen, jolloin voit käyttää internetiä rauhallisin mielin.