SIM卡交换攻击是复杂的多阶段犯罪,具有潜在毁灭性后果
执法机构对SIM交换骗局的兴起感到震惊,这是一种复杂但有利可图的帐户收购欺诈形式。
正如该机构的一项罪魁祸首,联邦调查局抓获了1800万美元,五辆车和90万美元的房屋,生动地说明了发射SIM交换攻击的经济动机,如该机构的一项罪魁祸首。2019年互联网犯罪报告(PDF)。
对于通常是有针对性的富裕人士,损失可能会达到数十万甚至数百万美元。
什么是SIM卡交换攻击?
SIM卡交换骗局(也称为“ Sim-jacking”)涉及一名攻击者,通过将数字移植到他们控制的SIM卡中,劫持受害者的手机号码。
骗子冒充受害者,使用有关其目标的信息(例如出生地,出生日期或母亲的处女名称)回答由移动运营商提出的安全问题。
可以从darknet市场,或仅仅取自受害人的社交媒体供稿。
由于用户经常通过发送到其电话号码的一次性密码进行身份验证,因此犯罪分子可以随后容易妥协电子邮件,社交媒体和其他在线帐户,以及最终的银行帐户或加密货币钱包。
SIM Swap攻击者将冒充受害者以控制其手机号码
SIM卡交换骗局有多常见?
根据数字每日swbeplay2018官网ig伦敦市警察欺诈部门的行动欺诈行动欺诈行动,英国受害者造成的总损失总计近220万英镑(300万美元),高于2015年的436,000英镑(530,000美元)。
在此期间,报告的事件数量从144起到720,受害者平均每次SIM卡交换攻击平均损失约3,000英镑。
但是,在2020年的前六个月中,英国境内的总损失达到483,000英镑(670,000美元),这表明2018年至2019年之间记录的适度跌幅将更加急剧下降,根据Statista。
2020年3月,欧洲刑警组织发出警告欧洲整个欧洲的模拟威胁都在增长,这表明调查导致逮捕了12名犯罪嫌疑人,这些嫌疑人与盗窃300万欧元(330万美元)有关。
在2021年,手机载体T-Mobile已与SIM Swaps分开起诉,导致价值55,000美元的被盗比特币而且,在这种情况下,原告遭到袭击者的欺骗$ 450,000的比特币。
一个加密货币投资者拥有起诉纽约少年据称盗窃了2380万美元的数字货币。
但是,与更自动化的帐户收购欺诈形式相比凭证填充攻击。
加拿大魁北克麦吉尔大学信息研究学院副教授Ben Fung告诉每日swbeplay2018官网ig他不认为这是非常普遍的攻击,因为它需要攻击者的“非平凡努力”。
他解释说:“那里还有许多其他较低的果实。”
尽管这是攻击一大群受害者的耗时的途径,”冯说,在以“特定的高价值受害者”为目标时,这种技术值得。
“价值”可能在受害人的公共资料中,而不仅仅是他们的银行帐户,因为Twitter首席执行官杰克·多尔西(Jack Dorsey)于2019年发现在他的个人Twitter帐户被黑客攻击之后。
八名嫌疑人于2021年2月被捕由英国执法部门与一系列针对美国名人的SIM-S-SWAP攻击有关,导致盗窃了1亿美元的加密货币。
但是,您不必是超级富裕或著名的目标,就可以实现大量信用卡限制。
一个调查由英国消费者冠军进行哪个?杂志例如,在2020年,详细介绍了犯罪分子在48小时内在受害者的信用卡上花费13,000英镑(14,000美元)的案例。
您不必超级富裕就可以被SIM-S-SWAP攻击所针对
SIM Swap欺诈解释了:它是如何工作的
这种复杂的多阶段诡计首先要确定合适的现金或信用良好的受害者及其移动的数字。
然后,犯罪分子然后从黑暗网络数据泄露销售,受害者的社交媒体提要或通过社交工程策略欺骗像这样的犯罪分子beplay体育能用吗网络钓鱼电子邮件,文字或电话。
攻击者试图通过电话,甚至在商店中欺骗受害人的移动运营商,将受害者的电话号码转移到自己的SIM卡上。beplay体育能用吗
如果成功,他们可以使用受害者的手机号码作为两因素身份验证(2FA)的形式来重置密码并访问其在线帐户。
默认情况下,在移动和在线帐户上的身份验证设置很少在其最新状态。
因此,特别建议富裕的人介绍其承运人和敏感在线帐户提供的所有其他安全障碍。
凯文·李(Kevin Lee)指出,例如,“某些运营商”可以限制“客户帐户,以便只能使用政府发行的ID进行更改”。
如何保护自己免受SIM卡交换欺诈
- 保持设备软件的最新
- 不要单击链接或下载未知发件人的电子邮件中的附件
- 不要在社交媒体上分享敏感的个人信息
- 尽可能使用2FA与身份验证应用
- 将PIN代码/密码添加到您的SIM卡安全设置
- 如果您成为SIMS交换攻击的受害者,请提醒您的移动运营商任何可疑连接性损失并更改在线密码
移动运营商正在处理SIM卡互换祸害吗?
一个2018 BBC调查发现英国电话车间工作人员经常未能通过护照或驾驶许可证来验证据称合法的SIM卡。
哪个?杂志同时,仅通过提供电话型号和帐号的最后四位数字来成功传输SIM。
和一个该死的普林斯顿大学研究2020年1月出版,在美国移动运营商使用的身份验证程序中发现了无数缺陷。
研究人员成功将其推定的受害者的电话号码转移到了其他SIM卡上,其中39个电话中有30个电话给了五个预付费承运人。
该研究的研究人员之一凯文·李(Kevin Lee)告诉他说:“我们发现基于可以轻松获得的信息,用于身份验证的不安全挑战。”每日swbeplay2018官网ig。
“我们还观察到粗心的行为,从客户服务代表泄漏信息之前,在身份验证到CSR忘记了我们身份验证我们。”
计算机科学系博士生Lee说,这项研究已经促使T-Mobile停止“将呼叫日志用于客户身份验证”。
每日swbeplay2018官网ig联系了美国数台电信公司以供评论。唯一的答复来自AT&T,它指出了我们网站上的页面beplay体育能用吗向客户提供建议,并制定自己的努力来应对威胁。
麦吉尔大学(McGill University)的本·冯(Ben Fung)说,要求“客户在帐户上销售PIN码”是有效且易于执行的,并且已经这样做了“一些加拿大电信公司”。
SIM卡交换攻击:移动运营商是否在保护其客户方面做得足够?
beplay体育能用吗Web帐户和基于电话的身份验证
在他们的论文的更新版本(PDF)于2020年4月出版,普林斯顿学者说,他们负责任地披露了身份验证漏洞到17个网站beplay体育能用吗,但只有4个增强的安全性使其满意。
李说:“通过担心不便客户(在一个情况下看到),网站将安全决策推向客户,拒绝进行修复。”beplay体育能用吗
他补充说:“关于网站并没有意识到问题在其身份验证政策中的逻辑上不beplay体育能用吗一致。
“通过允许同时使用相同的因素(SMS)进行登录和帐户恢复,他们实际上是通过开设帐户以使用SIM卡交换来收购帐户来矛盾其安全目标。”
Ben Fung说,网站可以beplay体育能用吗通过使用“身份验证应用程序,而不是通过SMS发送代码”来加强安全性。”但是,攻击的相对稀有性激发了便利性优先于安全性。
冯补充说:“除非法院案件或声誉受损,否则他们不会[变更课程]。”
