FCC pagaliau imasi kovoti su SIM keitimo sukčiais

SIM keitimo atakos ir sukčiavimas perkėlimo metu yra pagrindinės problemos, o incidentai JAV nutinka beveik kasdien. Dabar FCC įsikiša.

Vagys pasinaudojo operatoriaus klientų aptarnavimo paslaugomis, kad galėtų valdyti asmens mobiliojo telefono liniją, niekada neturėdami fizinės prieigos prie originalaus telefono. Tai suteikia užpuolikui prieigą prie asmens SMS žinutėmis pagrįstų dviejų veiksnių autentifikavimo kodų, kuriuos galima naudoti norint pasiekti viską – nuo ​​aukos el. pašto paskyros iki kriptovaliutų paskyrų.

Procesas žinomas kaip „SIM apsikeitimo ataka“ ir apima susisiekimą su aukos vežėju, kad būtų perkeltas telefono numeris į SIM kortelę, kurią vagis turi. Jei pasiseks, tikrojo savininko telefonas iš karto praras tarnybą, o vagis gaus prieigą prie visų jo numeriu siunčiamų skambučių ir žinučių. Tada vagis greitai juda, dažnai derindamas duomenis iš įvairių duomenų pažeidimų, kad pasiektų aukos sąskaitas ir išeikvotų lėšas.

Panašus metodas, vadinamas „port-out ataka“, iš esmės veikia taip pat, kaip SIM keitimas. Ši ataka perkelia aukos numerį į kitą nešiklį į vagiui priklausančią liniją.

FCC paskelbė šiandien kad rengiami pasiūlymai sukurti naujas SIM keitimo proceso taisykles. Komisija, matyt, gavo daug skundų iš šių išpuolių aukų. Taisyklėmis bus siekiama reikalauti, kad vežėjai saugiai patvirtintų kliento tapatybę prieš leisdami perkelti numerį į naują įrenginį ar operatorių.

Ypač turėjo „T-Mobile“. daugincidentai apie SIM keitimo atakos, jau nekalbant apie didelį duomenų pažeidimą dar rugpjūtį. AT&T turi panašių skundų. Panašu, kad „Verizon“ problema yra mažiausiai paveikta, todėl prieš leidžiant suaktyvinti SIM keitimą reikia tiesioginio paskyros savininko patvirtinimo.

Šiuo metu primygtinai rekomenduojama naudoti saugos raktą arba programa pagrįstą dviejų veiksnių autentifikavimą ir, kai tik įmanoma, vengti SMS žinutėmis pagrįsto 2FA. Tikimės, kad naujos komisijos sukurtos taisyklės padės išvengti sąskaitų perėmimo ateityje.