Шахрайство із заміною SIM-карти є великою проблемою в Сполучених Штатах, і FCC нарешті готується боротися з ними, пропонуючи нові правила.
Атаки на заміну SIM-карти та шахрайство з портами є серйозними проблемами, інциденти трапляються майже щодня в США. Тепер FCC втручається.
Злодії використовували служби обслуговування клієнтів оператора, щоб заволодіти лінією мобільного телефону людини, навіть не маючи фізичного доступу до оригінального телефону. Це дає зловмиснику доступ до кодів двофакторної автентифікації людини на основі SMS, які можна використовувати для доступу до всього, від облікового запису електронної пошти жертви до її облікових записів у криптовалюті.
Процес відомий як «атака обміну SIM-картою», і він передбачає зв’язок із оператором зв’язку жертви, щоб ініціювати перенесення телефонного номера на SIM-карту, яка є у злодія. У разі успіху телефон справжнього власника негайно втрачає обслуговування, а злодій отримає доступ до всіх дзвінків і текстових повідомлень, надісланих на його номер. Потім злодій швидко пересувається, часто поєднуючи дані з різних витоків даних, щоб отримати доступ до облікових записів жертви та витягнути з них кошти.
Подібний метод, званий «атакою на вихід», по суті, працює так само, як обмін SIM-картою. Ця атака переміщує номер жертви до іншого оператора, на лінію, яка належить злодієві.
FCC оголошений сьогодні що розробляються пропозиції щодо створення нових правил щодо процесу заміни SIM-карти. Судячи з усього, комісія отримала багато скарг від жертв цих нападів. Правила вимагатимуть від операторів безпечної автентифікації особи клієнта перед тим, як дозволити перенесення номера на новий пристрій або оператора.
Зокрема, T-Mobile багатоінциденти з Атаки обміну SIM, не кажучи вже про серйозну витоку даних ще в серпні. AT&T має подібні скарги. Verizon, здається, найменше постраждав від цієї проблеми, вимагаючи прямого підтвердження від власника облікового запису, перш ніж дозволити заміну SIM-карти для активації.
Наразі наполегливо рекомендуємо використовувати ключ безпеки або двофакторну автентифікацію на основі програми та уникати 2FA на основі SMS, коли це можливо. Сподіваємось, нові правила, створені комісією, допоможуть уникнути захоплення облікових записів у майбутньому.