SIM-byttesvindel er et stort problem i USA, og FCC forbereder seg endelig på å bekjempe dem med nye regler som foreslås.
SIM-bytteangrep og port-out-svindel er store problemer, med hendelser som skjer nesten daglig i USA. Nå går FCC inn.
Tyvene har utnyttet operatørens kundetjenester for å styre en persons mobiltelefonlinje uten noen gang å ha fysisk tilgang til den originale telefonen. Dette gir angriperen tilgang til en persons SMS-baserte tofaktorautentiseringskoder som kan brukes til å få tilgang til alt fra et offers e-postkonto til deres kryptovalutakontoer.
Prosessen er kjent som et «SIM-bytteangrep», og den innebærer å kontakte offerets operatør for å sette i gang en overføring av telefonnummer til et SIM-kort som tyven har i sin besittelse. Hvis det lykkes, vil den virkelige eierens telefon umiddelbart miste tjenesten, og tyven vil få tilgang til alle anrop og tekstmeldinger som sendes til nummeret deres. Tyven beveger seg deretter raskt, ofte ved å kombinere data fra en rekke datainnbrudd, for å få tilgang til offerets kontoer og tappe dem for midler.
En lignende metode, kalt et "port-out-angrep", fungerer i hovedsak på samme måte som et SIM-bytte. Dette angrepet flytter offerets nummer til en annen transportør, over på en linje som eies av tyven.
FCC annonsert i dag at det utvikles forslag for å lage nye regler rundt simbytteprosessen. Kommisjonen har tilsynelatende mottatt mange klager fra ofre for disse angrepene. Reglene vil søke å kreve at operatører skal autentisere en kundes identitet på en sikker måte før de tillater nummeroverføringer til en ny enhet eller operatør.
Spesielt T-Mobile har hatt mangehendelser av SIM-bytteangrep, for ikke å snakke om det store datainnbruddet tilbake i august. AT&T har lignende klager. Verizon ser ut til å være minst berørt av problemet, og krever direkte bekreftelse fra kontoinnehaveren før du lar en sim-bytte aktiveres.
Foreløpig anbefales det sterkt å bruke en sikkerhetsnøkkel eller app-basert tofaktorautentisering og unngå SMS-basert 2FA når det er mulig. Forhåpentligvis vil de nye reglene kommisjonen oppretter bidra til å unngå kontoovertakelser i fremtiden.