美国 FCC 督促运营商升级措施,防止手机 SIM 卡调换和移植攻击
IT之家 10 月 2 日消息 据 9to5 Mac 报道,美国联邦通信委员会(FCC)正在呼吁运营商实施更好的安全保护措施,防止 SIM 卡调换和移植攻击。
这些攻击是犯罪分子进行身份盗窃的常见方式,并接管了从诸如 iPhone Apple ID 到银行账户等的任何东西。
背景
SIM 调换攻击是指攻击者说服运营商将你的电话号码分配给一个新的 SIM 卡。移植攻击是指以你的名义在一个新的运营商那里创建一个账户,攻击者让运营商将你的手机号码转移到他们控制的新账户上。
IT之家获悉,在这两种情况下,攻击者都会收到你的账户的双因素认证(2FA)验证码,这可以与网络钓鱼攻击相结合,窃取你的身份。这种类型的欺诈最糟糕的方面是,受害者几乎不可能证明自己的身份,因为攻击者会收到为重设密码而发送的任何短信验证码。(这就是为什么短信是一种可怕的 2FA 形式的原因之一)
去年的一项研究发现,美国运营商未能适当保护他们的客户免受这些攻击。
所用的方法简单得可笑:打电话的人声称忘记了主要安全问题的答案,然后继续声称,他们之所以不能回答关于他们的日期和出生地等问题,是因为他们在设置账户时犯了错误。
令人难以置信的是,运营商客户服务代表随后允许他们仅仅通过说出最近拨打的两个电话号码来进行认证。正如研究报告所指出的,说服别人给一个未知号码打电话是非常简单的,只需留下语音留言或发送短信。三家运营商有时甚至接受来电认证,这意味着攻击者只需用一次性手机拨打受害者的电话就可以了。
FCC 呼吁加强对 SIM 卡调换攻击的保护
FCC 表示,很明显,这个问题需要得到解决。
"FCC 已经收到了许多消费者的投诉,他们因 SIM 卡调换和移植欺诈而遭受了巨大的困扰、不便和经济损失。此外,最近的数据泄露事件暴露了客户信息,有可能使这些攻击更容易得逞。"
该委员会希望迫使运营商使用更安全的方法来验证提出这些请求的客户的身份。
"联邦通信委员会今天开始了一个正式的规则制定过程,目的是为了应对用户身份模块(SIM)调换骗局和移植输出欺诈,这两种骗局都是坏人用来窃取消费者的手机账户而不需要对消费者的手机进行实际控制 [...]。
它建议修改客户专有网络信息(CPNI)和本地号码可移植性规则,要求运营商在将客户的电话号码重定向到新设备或运营商之前采用安全的方法来验证客户。它还建议要求供应商在客户账户上出现 SIM 卡变更或移植请求时立即通知客户。"
下一步是公众咨询程序。
同时,你可以通过采取一些预防措施,将你成为这种类型的攻击受害者的风险降到最低。
如果你的运营商允许你为账户设置一个 PIN 或密码,请这样做:
对于 2FA,只要提供给你这个选项,就一定要使用认证器应用程序,而不是短信。
对任何要求提供个人数据的电话、短信或电子邮件持怀疑态度。
遵循建议,保护自己免受网络钓鱼攻击。这类攻击通常与 SIM 卡调换攻击相结合。