Измамите със смяна на SIM карти са голям проблем в Съединените щати и FCC най-накрая се готви да се бори с тях с предлагането на нови правила.
Атаките за размяна на SIM карти и измамите с изходящ порт са основни проблеми, като инциденти се случват почти всеки ден в САЩ. Сега FCC се намесва.
Крадците експлоатират услугите на оператора за клиенти, за да контролират мобилната телефонна линия на дадено лице, без изобщо да имат физически достъп до оригиналния телефон. Това дава на атакуващия достъп до базираните на SMS двуфакторни кодове за удостоверяване на човек, които могат да се използват за достъп до всичко - от имейл акаунта на жертвата до техните акаунти в криптовалута.
Процесът е известен като "SIM swap атака" и включва свързване с оператора на жертвата, за да започне прехвърляне на телефонен номер към SIM карта, която крадецът притежава. Ако успее, телефонът на истинския собственик незабавно ще загуби услугата и крадецът ще получи достъп до всички обаждания и съобщения, изпратени до техния номер. След това крадецът се движи бързо, често комбинирайки данни от различни пробиви на данни, за да получи достъп до акаунтите на жертвата и да източи средства от тях.
Подобен метод, наречен „атака на изходящ порт“, по същество работи по същия начин като размяна на SIM карта. Тази атака премества номера на жертвата към друг оператор, към линия, собственост на крадеца.
FCC обяви днес че се разработват предложения за създаване на нови правила около процеса на смяна на SIM. Комисията очевидно е получила много жалби от жертви на тези атаки. Правилата ще се стремят да изискват от операторите сигурно да удостоверяват самоличността на клиента, преди да позволят прехвърляне на номера към ново устройство или оператор.
По-специално T-Mobile имаше многоинциденти на SIM swap атаки, да не говорим за голямото нарушение на данните още през август. AT&T има подобни оплаквания. Verizon изглежда е най-малко засегнат от проблема, като изисква директно потвърждение от притежателя на акаунта, преди да позволи активиране на смяна на SIM.
Засега е силно препоръчително да използвате ключ за сигурност или базирано на приложение двуфакторно удостоверяване и да избягвате 2FA, базирано на SMS, когато е възможно. Да се надяваме, че новите правила, създадени от комисията, ще помогнат да се избегнат поглъщания на акаунти в бъдеще.