SIM değiştirme dolandırıcılıkları Amerika Birleşik Devletleri'nde büyük bir sorun ve FCC nihayet önerilen yeni kurallarla bunlarla mücadele etmeye hazırlanıyor.
SIM takas saldırıları ve port-out dolandırıcılığı, ABD'de neredeyse her gün meydana gelen olaylarla önemli sorunlardır. Artık FCC devreye giriyor.
Hırsızlar, orijinal telefona fiziksel erişime sahip olmadan bir kişinin cep telefonu hattına el koymak için operatörün müşteri hizmetlerinden yararlanıyor. Bu, saldırganın, kurbanın e-posta hesabından kripto para birimi hesaplarına kadar her şeye erişmek için kullanılabilecek SMS tabanlı iki faktörlü kimlik doğrulama kodlarına erişmesini sağlar.
Süreç, "SIM takas saldırısı" olarak biliniyor ve hırsızın elinde bulunan bir SIM karta telefon numarası aktarımını başlatmak için kurbanın operatörüyle iletişime geçmeyi içeriyor. Başarılı olursa, gerçek sahibinin telefonu anında hizmet dışı kalacak ve hırsız, kendi numarasına gönderilen tüm çağrılara ve mesajlara erişim kazanacaktır. Hırsız daha sonra kurbanın hesaplarına erişmek ve paralarını boşaltmak için genellikle çeşitli veri ihlallerinden elde edilen verileri birleştirerek hızlı bir şekilde hareket eder.
"Port-out saldırısı" adı verilen benzer bir yöntem, aslında SIM takasıyla aynı şekilde çalışır. Bu saldırı, kurbanın numarasını farklı bir operatöre, hırsızın sahip olduğu hatta taşıyor.
FCC bugün açıklandı sim takas sürecini çevreleyen yeni kurallar oluşturmak için öneriler geliştiriliyor. Komisyonun bu saldırıların kurbanlarından çok sayıda şikayet aldığı anlaşılıyor. Kurallar, operatörlerin yeni bir cihaza veya operatöre numara aktarımına izin vermeden önce müşterinin kimliğini güvenli bir şekilde doğrulamasını zorunlu kılmayı amaçlayacak.
Özellikle T-Mobile'ın birçokolaylar ile ilgili SIM takas saldırılarıbüyük veri ihlalinden bahsetmiyorum bile ağustosta geri döndüm. AT&T'nin sahip olduğu benzer şikayetler. Verizon, sorundan en az etkilenen ülke gibi görünüyor ve sim değişiminin etkinleştirilmesine izin vermeden önce hesap sahibinin doğrudan onayını gerektiriyor.
Şimdilik bir güvenlik anahtarı veya uygulama tabanlı iki faktörlü kimlik doğrulama kullanılması ve mümkün olduğunca SMS tabanlı 2FA'dan kaçınılması önemle tavsiye edilir. Komisyonun oluşturduğu yeni kuralların gelecekte hesapların ele geçirilmesinin önlenmesine yardımcı olacağını umuyoruz.