Az FCC végre beszáll a SIM-csere-csalások elleni küzdelembe

A SIM-csere-csalások nagy problémát jelentenek az Egyesült Államokban, és az FCC végre új szabályokkal készül felvenni a harcot ellenük.

A SIM-csere-támadások és a port-out-csalások komoly problémákat okoznak, mivel az Egyesült Államokban szinte naponta történnek incidensek. Most az FCC is beavatkozik.

A tolvajok kihasználták a szolgáltató ügyfélszolgálatát, hogy irányítsák egy személy mobiltelefon-vonalát anélkül, hogy fizikailag hozzáférhettek volna az eredeti telefonhoz. Ezzel a támadó hozzáférhet egy személy SMS-alapú kéttényezős hitelesítési kódjához, amellyel mindenhez hozzáférhet az áldozat e-mail-fiókjától kezdve a kriptovaluta számláiig.

A folyamatot "SIM-csere-támadásnak" nevezik, és felveszi a kapcsolatot az áldozat szolgáltatójával, hogy kezdeményezze a telefonszám átvitelét a tolvaj birtokában lévő SIM-kártyára. Siker esetén az igazi tulajdonos telefonja azonnal szolgáltatást veszít, és a tolvaj minden, a számukra küldött híváshoz és SMS-hez hozzáfér. A tolvaj ezután gyorsan mozog, gyakran egyesíti a különféle adatvédelmi incidensekből származó adatokat, hogy hozzáférjen az áldozat számláihoz, és elszívja a pénzeszközöket.

Egy hasonló módszer, az úgynevezett "port-out attack", lényegében ugyanúgy működik, mint a SIM-csere. Ez a támadás áthelyezi az áldozat számát egy másik szolgáltatóra, a tolvaj tulajdonában lévő vonalra.

Az FCC ma jelentették be hogy javaslatokat dolgoznak ki a sim-swap folyamat körüli új szabályok létrehozására. A Bizottság láthatóan sok panaszt kapott e támadások áldozataitól. A szabályok arra irányulnak majd, hogy a szolgáltatók biztonságosan hitelesítsék az ügyfél személyazonosságát, mielőtt engedélyeznék a számok átvitelét egy új eszközre vagy szolgáltatóra.

Különösen a T-Mobile volt sokesemények nak,-nek SIM-csere támadások, nem is beszélve a jelentős adatszivárgásról még augusztusban. Az AT&T rendelkezik hasonló panaszok. Úgy tűnik, a Verizont érinti a legkevésbé a probléma, mivel a sim-csere aktiválása előtt közvetlen megerősítésre van szüksége a fióktulajdonostól.

Egyelőre erősen ajánlott biztonsági kulcs vagy alkalmazás alapú kéttényezős hitelesítés használata, és lehetőség szerint kerülje az SMS-alapú 2FA-t. Remélhetőleg a bizottság által megalkotott új szabályok segítenek elkerülni a fiókok jövőbeni átvételét.