| 1 окт 2021 — 5:12 PT
Федеральная комиссия по связи (FCC) призывает операторов внедрить более надежную защиту от атак SIM-swap и port-out.
Эти атаки являются распространенным способом, которым преступники совершают кражу личности и получают контроль над всем, от Apple ID до банковского счета…
Предыстория
Атака SIM-swap заключается в том, что злоумышленник убеждает оператора переназначить ваш номер телефона на новую SIM-карту. Атака port-out — это когда от вашего имени создается учетная запись у нового оператора, и злоумышленник перемещает ваш номер телефона на новую учетную запись, которую он контролирует.
В обоих случаях злоумышленник будет получать коды двухфакторной аутентификации (2FA) для ваших учетных записей, которые могут использоваться в сочетании с фишинговыми атаками для кражи вашей личности. Худший аспект этого типа мошенничества заключается в том, что жертве может быть практически невозможно доказать свою личность, поскольку злоумышленник будет получать любые коды подтверждения по SMS, отправляемые для сброса пароля. (Это лишь одна из причин, почему SMS — ужасная форма 2FA.)
Исследование, проведенное в прошлом году, показало, что американские операторы не смогли должным образом защитить своих клиентов от этих атак.
Использованный метод был невероятно прост: звонивший утверждал, что забыл ответ на основной вопрос безопасности, а затем заявлял, что причина, по которой он не мог ответить на вопросы о таких вещах, как его дата и место рождения, заключается в том, что он, должно быть, совершил ошибку при создании учетной записи.
Невероятно, но представители службы поддержки клиентов позволяли им проходить аутентификацию, просто называя два последних номера, на которые были совершены звонки. Как отмечается в исследовании, было бы довольно просто убедить кого-то позвонить по неизвестному номеру, просто оставив голосовые сообщения или отправив текстовые сообщения. Три оператора даже иногда принимали *входящие* звонки в качестве подтверждения, что означало, что злоумышленнику достаточно было просто позвонить на телефон жертвы с одноразового телефона.
FCC призывает улучшить защиту от атак SIM-swap
FCC заявляет, что очевидно, что проблема нуждается в решении.
FCC получила многочисленные жалобы от потребителей, которые испытали значительный стресс, неудобства и финансовый ущерб в результате мошенничества с SIM-swap и port-out. Кроме того, недавние утечки данных раскрыли информацию о клиентах, которая потенциально может облегчить проведение подобных атак.
Комиссия хочет обязать операторов использовать более безопасные методы для проверки личности клиентов, совершающих эти запросы.
Федеральная комиссия по связи сегодня начала формальный процесс разработки правил с целью борьбы с мошенничеством с SIM-картами (SIM-swap) и port-out, оба из которых используются злоумышленниками для кражи учетных записей мобильных телефонов потребителей без получения физического контроля над телефоном потребителя […]
Предлагается внести поправки в правила Customer Proprietary Network Information (CPNI) и Local Number Portability, чтобы обязать операторов использовать безопасные методы аутентификации клиента перед перенаправлением номера телефона клиента на новое устройство или к новому оператору. Также предлагается требовать от провайдеров немедленно уведомлять клиентов всякий раз, когда в их учетных записях делается запрос на изменение SIM-карты или перенос номера.
Следующим этапом является процесс общественных консультаций.
А пока вы можете минимизировать риск стать жертвой такого рода атак, предприняв несколько мер предосторожности:
- Если ваш оператор позволяет вам установить PIN-код или пароль для вашей учетной записи, сделайте это.
- Для 2FA всегда используйте приложение-аутентификатор, а не SMS, когда вам предлагают такой вариант.
- С подозрением относитесь к любым звонкам, текстовым сообщениям или электронным письмам с просьбой предоставить личные данные.
- Следуйте нашим советам по защите от фишинговых атак,
которые часто сочетаются с SIM-swap.
Фото: Бретт Джордан/Unsplash