美國 FCC 督促運營商升級措施，防止手機 SIM 卡調(diào)換和移植攻擊

IT之家 10 月 2 日消息 據(jù) 9to5 Mac 報道，美國聯(lián)邦通信委員會（FCC）正在呼吁運營商實施更好的安全保護措施，防止 SIM 卡調(diào)換和移植攻擊。

這些攻擊是犯罪分子進行身份盜竊的常見方式，并接管了從諸如 iPhone Apple ID 到銀行賬戶等的任何東西。

背景

SIM 調(diào)換攻擊是指攻擊者說服運營商將你的電話號碼分配給一個新的 SIM 卡。移植攻擊是指以你的名義在一個新的運營商那里創(chuàng)建一個賬戶，攻擊者讓運營商將你的手機號碼轉(zhuǎn)移到他們控制的新賬戶上。

IT之家獲悉，在這兩種情況下，攻擊者都會收到你的賬戶的雙因素認證（2FA）驗證碼，這可以與網(wǎng)絡釣魚攻擊相結(jié)合，竊取你的身份。這種類型的欺詐最糟糕的方面是，受害者幾乎不可能證明自己的身份，因為攻擊者會收到為重設密碼而發(fā)送的任何短信驗證碼。(這就是為什么短信是一種可怕的 2FA 形式的原因之一)

去年的一項研究發(fā)現(xiàn)，美國運營商未能適當保護他們的客戶免受這些攻擊。

所用的方法簡單得可笑：打電話的人聲稱忘記了主要安全問題的答案，然后繼續(xù)聲稱，他們之所以不能回答關(guān)于他們的日期和出生地等問題，是因為他們在設置賬戶時犯了錯誤。

令人難以置信的是，運營商客戶服務代表隨后允許他們僅僅通過說出最近撥打的兩個電話號碼來進行認證。正如研究報告所指出的，說服別人給一個未知號碼打電話是非常簡單的，只需留下語音留言或發(fā)送短信。三家運營商有時甚至接受來電認證，這意味著攻擊者只需用一次性手機撥打受害者的電話就可以了。

FCC 呼吁加強對 SIM 卡調(diào)換攻擊的保護

FCC 表示，很明顯，這個問題需要得到解決。

“FCC 已經(jīng)收到了許多消費者的投訴，他們因 SIM 卡調(diào)換和移植欺詐而遭受了巨大的困擾、不便和經(jīng)濟損失。此外，最近的數(shù)據(jù)泄露事件暴露了客戶信息，有可能使這些攻擊更容易得逞。”

該委員會希望迫使運營商使用更安全的方法來驗證提出這些請求的客戶的身份。

“聯(lián)邦通信委員會今天開始了一個正式的規(guī)則制定過程，目的是為了應對用戶身份模塊（SIM）調(diào)換騙局和移植輸出欺詐，這兩種騙局都是壞人用來竊取消費者的手機賬戶而不需要對消費者的手機進行實際控制 [...]。

它建議修改客戶專有網(wǎng)絡信息（CPNI）和本地號碼可移植性規(guī)則，要求運營商在將客戶的電話號碼重定向到新設備或運營商之前采用安全的方法來驗證客戶。它還建議要求供應商在客戶賬戶上出現(xiàn) SIM 卡變更或移植請求時立即通知客戶?！?/p>

下一步是公眾咨詢程序。

同時，你可以通過采取一些預防措施，將你成為這種類型的攻擊受害者的風險降到最低。

如果你的運營商允許你為賬戶設置一個 PIN 或密碼，請這樣做：

• 對于 2FA，只要提供給你這個選項，就一定要使用認證器應用程序，而不是短信。

• 對任何要求提供個人數(shù)據(jù)的電話、短信或電子郵件持懷疑態(tài)度。

• 遵循建議，保護自己免受網(wǎng)絡釣魚攻擊。這類攻擊通常與 SIM 卡調(diào)換攻擊相結(jié)合。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。