להבנתי, הכל התבצע דרך פישינג, הוא הכניס את הססמה וה-2FA, ואז קיבלת שגיאה ג’נרית מהתוקף שמיהר להשתמש בקוד 2FA שקיבלת מהקורבן והתחבר לו לחשבון. יכול להיות שגם היה איזשהו שימוש ב-Relay Proxy (לדוגמה Evilgnix [1]), בשביל לאפשר אוטומציה של המתקפה.
יש המון סיפורים על איך SIM swapping מתבצע, החל מלגנוב לנציג את הטאבלט שיש לו הרשאות לבצע שיוך, עד Social Engineering של הנציב וכלה בנציגים שקיבלו שוחד כספי עבור ביצוע השיוך. בסופו של דבר מדובר בשיוך המספר לסים בשליטה שלך, מה שמאפשר לך לקבל את כל השיחות והמסרונים של הקורבן, ובכך להשיג גישה לחשבונות שהמספר מוגדר בהם כאמצעי שחזור.
Security Token (מפתחות פיזיים כגון Yubikey), תעודות PKI (Smart cards) ו-Passkey הם כנראה האמצעיים הכי בטוחים ושהכי קשה - בלתי אפשרי לבצע עליהם MITM. אני ממליץ על אמצעי חומרה שתומך ב-FIDO2, U2F או מבוסס על PKI (smart card).
בנוסף, אני ממליץ לך לעיין בפוסט הזה הגיינת אימייל, המלצת על פרקטיקה למנוע ספאם וזיהוי דליפות לגבי הקשחה של זיהוי אלמנטים מזהים בחשבון ושיקשו לבצע פישינג כנגדך.