Le truffe legate allo scambio di SIM sono un grosso problema negli Stati Uniti e la FCC si sta finalmente preparando a combatterle con la proposta di nuove regole.
Gli attacchi di SIM swap e le frodi di port-out sono problemi importanti, con incidenti che si verificano quasi ogni giorno negli Stati Uniti. Ora, la FCC sta intervenendo.
I ladri hanno sfruttato i servizi clienti dell'operatore per requisire la linea telefonica mobile di una persona senza mai avere accesso fisico al telefono originale. Ciò consente all'aggressore di accedere ai codici di autenticazione a due fattori basati su SMS di una persona che possono essere utilizzati per accedere a qualsiasi cosa, dall'account e-mail della vittima ai suoi account di criptovaluta.
Il processo è noto come "attacco di scambio SIM" e prevede di contattare l'operatore telefonico della vittima per avviare il trasferimento del numero di telefono su una carta SIM che il ladro ha in suo possesso. In caso di successo, il telefono del vero proprietario perderà immediatamente il servizio e il ladro avrà accesso a tutte le chiamate e gli SMS inviati al suo numero. Il ladro quindi si muove rapidamente, spesso combinando i dati provenienti da una serie di violazioni dei dati, per accedere ai conti della vittima e prosciugarne i fondi.
Un metodo simile, chiamato "attacco di port-out", funziona essenzialmente allo stesso modo di uno scambio di SIM. Questo attacco sposta il numero della vittima su un altro operatore, su una linea di proprietà del ladro.
La FCC annunciato oggi che si stanno sviluppando proposte per creare nuove regole relative al processo di scambio di sim. A quanto pare la commissione ha ricevuto numerose denunce da parte delle vittime di questi attacchi. Le regole cercheranno di richiedere agli operatori di autenticare in modo sicuro l'identità di un cliente prima di consentire i trasferimenti di numeri a un nuovo dispositivo o operatore.
T-Mobile in particolare ha avuto moltiincidenti Di Attacchi di scambio SIM, per non parlare della grave violazione dei dati di nuovo in agosto. AT&T ha denunce simili. Verizon sembra essere la meno colpita dal problema, richiedendo la conferma diretta da parte del titolare dell'account prima di consentire l'attivazione di uno scambio di sim.
Per ora, si consiglia vivamente di utilizzare una chiave di sicurezza o un'autenticazione a due fattori basata su app ed evitare, quando possibile, la 2FA basata su SMS. Si spera che le nuove regole create dalla commissione contribuiranno a evitare il furto di account in futuro.