SIM-korttien vaihtohuijaukset ovat suuri ongelma Yhdysvalloissa, ja FCC valmistautuu vihdoin taistelemaan niitä vastaan ehdottamalla uusia sääntöjä.
SIM-swap-hyökkäykset ja port-out-petokset ovat suuria ongelmia, ja tapauksia tapahtuu Yhdysvalloissa lähes päivittäin. Nyt FCC puuttuu asiaan.
Varkaat ovat hyödyntäneet operaattorin asiakaspalvelua hallitakseen henkilön matkapuhelinlinjaa ilman, että heillä on koskaan ollut fyysistä pääsyä alkuperäiseen puhelimeen. Tämä antaa hyökkääjälle pääsyn henkilön SMS-pohjaisiin kaksivaiheisiin todennuskoodeihin, joita voidaan käyttää kaikkeen uhrin sähköpostitilistä hänen kryptovaluuttatileihinsä.
Prosessi tunnetaan nimellä "SIM-swap-hyökkäys", ja siihen kuuluu yhteydenotto uhrin operaattoriin puhelinnumeron siirron aloittamiseksi varkaan hallussa olevalle SIM-kortille. Jos onnistuu, todellisen omistajan puhelin menettää välittömästi palvelun ja varas pääsee käsiksi kaikkiin hänen numeroonsa lähetettyihin puheluihin ja tekstiviesteihin. Varas liikkuu sitten nopeasti yhdistäen usein tietoja useista tietomurroista päästäkseen uhrin tileille ja tyhjentääkseen niiltä varat.
Samanlainen menetelmä, jota kutsutaan "port-out-hyökkäykseksi", toimii olennaisesti samalla tavalla kuin SIM-kortin vaihto. Tämä hyökkäys siirtää uhrin numeron eri operaattorille, varkaan omistamalle linjalle.
FCC ilmoitti tänään että ehdotuksia kehitetään uusien sääntöjen luomiseksi sim-swap-prosessin ympärille. Komissio on ilmeisesti saanut monia valituksia näiden hyökkäysten uhreilta. Säännöt pyrkivät vaatimaan liikenteenharjoittajia turvallisesti todentamaan asiakkaan henkilöllisyyden ennen kuin sallitaan numeron siirto uuteen laitteeseen tai operaattoriin.
Varsinkin T-Mobilella on ollut monettapahtumia / SIM-swap-hyökkäykset, puhumattakaan suuresta tietomurrosta takaisin elokuussa. AT&T: llä on vastaavia valituksia. Ongelma näyttää vaikuttavan vähiten Verizoniin, sillä se vaatii suoran vahvistuksen tilin haltijalta ennen kuin sim-swap-kortti voidaan aktivoida.
Toistaiseksi on erittäin suositeltavaa käyttää suojausavainta tai sovelluspohjaista kaksivaiheista todennusta ja välttää tekstiviestipohjaista 2FA: ta aina kun mahdollista. Toivottavasti komission luomat uudet säännöt auttavat välttämään tilien haltuunottoa tulevaisuudessa.