Sim-swapping-zwendel is een groot probleem in de Verenigde Staten, en de FCC bereidt zich eindelijk voor om deze te bestrijden door nieuwe regels voor te stellen.
Sim-swap-aanvallen en port-out-fraude zijn grote problemen, waarbij incidenten bijna dagelijks voorkomen in de VS. Nu komt de FCC tussenbeide.
Dieven maken misbruik van de klantenservice van providers om iemands mobiele telefoonlijn te bemachtigen zonder ooit fysieke toegang tot de originele telefoon te hebben gehad. Dit geeft de aanvaller toegang tot de op sms gebaseerde tweefactorauthenticatiecodes van een persoon die kunnen worden gebruikt om toegang te krijgen tot alles, van het e-mailaccount van een slachtoffer tot zijn cryptocurrency-accounts.
Het proces staat bekend als een "SIM-swapaanval" en houdt in dat er contact wordt opgenomen met de provider van het slachtoffer om een telefoonnummeroverdracht te initiëren naar een simkaart die de dief in zijn bezit heeft. Als dit lukt, wordt de telefoon van de echte eigenaar onmiddellijk uitgeschakeld en krijgt de dief toegang tot alle oproepen en sms-berichten die naar zijn nummer worden verzonden. De dief gaat vervolgens snel te werk, waarbij hij vaak gegevens uit verschillende datalekken combineert, om toegang te krijgen tot de accounts van het slachtoffer en geld af te tappen.
Een soortgelijke methode, een "port-out-aanval" genoemd, werkt in wezen op dezelfde manier als een SIM-swap. Bij deze aanval wordt het nummer van het slachtoffer naar een andere provider verplaatst, naar een lijn die eigendom is van de dief.
De FCC vandaag aangekondigd dat er voorstellen worden ontwikkeld om nieuwe regels te creëren rond het sim-swapproces. De commissie heeft blijkbaar veel klachten ontvangen van slachtoffers van deze aanvallen. De regels zullen tot doel hebben om van vervoerders te eisen dat ze de identiteit van een klant veilig verifiëren voordat ze nummeroverdrachten naar een nieuw apparaat of een nieuwe provider toestaan.
Vooral T-Mobile heeft dat gehad veelincidenten van SIM-swap-aanvallen, om nog maar te zwijgen van het grote datalek terug in augustus. AT&T heeft dat gedaan soortgelijke klachten. Verizon lijkt het minst getroffen te zijn door het probleem en vereist directe bevestiging van de accounthouder voordat een sim-swap kan worden geactiveerd.
Voorlopig wordt het ten zeerste aanbevolen om een beveiligingssleutel of app-gebaseerde tweefactorauthenticatie te gebruiken en waar mogelijk sms-gebaseerde 2FA te vermijden. Hopelijk zullen de nieuwe regels die de commissie opstelt, helpen om accountovernames in de toekomst te voorkomen.