SIM-bytesbedrägerier är ett stort problem i USA, och FCC förbereder sig äntligen för att bekämpa dem med nya regler som föreslås.
SIM-bytesattacker och port-out-bedrägerier är stora problem, med incidenter som händer nästan dagligen i USA. Nu kliver FCC in.
Tjuvar har utnyttjat operatörens kundtjänst för att komma över en persons mobiltelefonlinje utan att någonsin ha fysisk tillgång till den ursprungliga telefonen. Detta ger angriparen tillgång till en persons SMS-baserade tvåfaktorsautentiseringskoder som kan användas för att komma åt allt från ett offers e-postkonto till deras kryptovalutakonton.
Processen är känd som en "SIM-bytesattack", och den innebär att man kontaktar offrets operatör för att initiera en överföring av telefonnummer till ett SIM-kort som tjuven har i sin ägo. Om det lyckas, kommer den verkliga ägarens telefon omedelbart att förlora service, och tjuven kommer att få tillgång till alla samtal och sms som skickas till deras nummer. Tjuven rör sig sedan snabbt, ofta genom att kombinera data från en mängd olika dataintrång, för att komma åt offrets konton och tömma dem på pengar.
En liknande metod, kallad "port-out-attack", fungerar i princip på samma sätt som ett SIM-byte. Denna attack flyttar offrets nummer till en annan operatör, till en linje som ägs av tjuven.
FCC meddelade idag att förslag tas fram för att skapa nya regler kring simbytesprocessen. Kommissionen har tydligen tagit emot många klagomål från offer för dessa attacker. Reglerna kommer att sträva efter att kräva att operatörer säkert autentiserar en kunds identitet innan de tillåter nummeröverföringar till en ny enhet eller operatör.
Särskilt T-Mobile har haft mångaincidenter av SIM-bytesattacker, för att inte tala om det stora dataintrånget tillbaka i augusti. AT&T har liknande klagomål. Verizon verkar vara minst påverkad av problemet, kräver direkt bekräftelse från kontoinnehavaren innan du tillåter ett simbyte att aktiveras.
För närvarande rekommenderas det starkt att använda en säkerhetsnyckel eller appbaserad tvåfaktorsautentisering och undvika SMS-baserad 2FA när det är möjligt. Förhoppningsvis kommer de nya regler som kommissionen skapar att bidra till att undvika kontouppköp i framtiden.