Oszustwa polegające na wymianie kart SIM stanowią duży problem w Stanach Zjednoczonych, a FCC wreszcie przygotowuje się do walki z nimi, proponując nowe zasady.
Ataki związane z zamianą kart SIM i oszustwa związane z portowaniem to główne problemy, a incydenty zdarzają się w USA niemal codziennie. Teraz wkracza FCC.
Złodzieje wykorzystują obsługę klienta operatora, aby przejąć czyjąś linię telefonii komórkowej bez fizycznego dostępu do oryginalnego telefonu. Daje to atakującemu dostęp do dwuskładnikowych kodów uwierzytelniających opartych na wiadomościach SMS, których można użyć do uzyskania dostępu do wszystkiego, od konta e-mail ofiary po jej konta kryptowalutowe.
Proces ten nazywany jest „atakiem polegającym na zamianie karty SIM” i polega na skontaktowaniu się z operatorem ofiary w celu zainicjowania przeniesienia numeru telefonu na kartę SIM, którą posiada złodziej. Jeśli się powiedzie, telefon prawdziwego właściciela natychmiast przestanie działać, a złodziej uzyska dostęp do wszystkich połączeń i SMS-ów wysyłanych na jego numer. Następnie złodziej działa szybko, często łącząc dane pochodzące z różnych naruszeń danych, aby uzyskać dostęp do kont ofiary i wyssać z niej środki.
Podobna metoda, zwana „atakiem typu port-out”, działa zasadniczo w taki sam sposób, jak zamiana karty SIM. Atak ten przenosi numer ofiary do innego operatora, na linię należącą do złodzieja.
FCC ogłoszono dzisiaj że opracowywane są propozycje stworzenia nowych zasad otaczających proces wymiany karty SIM. Komisja najwyraźniej otrzymała wiele skarg od ofiar tych ataków. Przepisy będą miały na celu nałożenie na operatorów obowiązku bezpiecznego uwierzytelnienia tożsamości klienta przed zezwoleniem na przeniesienie numeru na nowe urządzenie lub nowego operatora.
Szczególnie T-Mobile miał wieleincydenty z Ataki polegające na wymianie karty SIM, nie wspominając o poważnym naruszeniu bezpieczeństwa danych w sierpniu. AT&T ma podobne skargi. Problem wydaje się najmniej dotknięty Verizon, który wymaga bezpośredniego potwierdzenia od posiadacza konta przed zezwoleniem na aktywację wymiany karty SIM.
Na razie zdecydowanie zaleca się używanie klucza bezpieczeństwa lub uwierzytelniania dwuskładnikowego opartego na aplikacji i, jeśli to możliwe, unikanie uwierzytelniania dwuskładnikowego opartego na wiadomościach SMS. Mamy nadzieję, że nowe zasady stworzone przez prowizję pozwolą uniknąć przejęć kont w przyszłości.