Eftersom ransomware fortsätter att vara ett pågående problem med att skydda användarnas data, finns det en mobiltelefonbedrägeri som allmänheten också måste vara medveten om. Tea FBI säger att brottslingar har eskalerat SIM-kortsbytesattacker för att kapa offrens telefonnummer och stjäla miljontals dollar från fiat- och virtuella valutakonton.
FBI rapporterar att från januari 2018 till december 2020 mottog FBI Internet Crime Complaint Center 320 klagomål relaterade till bedrägerier med SIM-byte, med skadorna på totalt 12 miljoner dollar.
Måste läsa säkerhetstäckning
“När människor undrar vad konsekvenserna av storskaliga dataintrång är, är det precis det här”, säger Chris Clements, VP för lösningsarkitektur på Cerberus Sentinel. ”Både människor och företag har blivit betingade av att kunna verifiera identiteten genom enkla frågor som personnummer eller moderns flicknamn. Tyvärr faller detta helt sönder när dataintrång som drabbar miljontals människor rutinmässigt inträffar. Nu är information som tidigare antogs vara relativt privat i händerna på illvilliga parter som kan utnyttja den för att enkelt imitera sina offer.”
Vad är SIM-byte?
SIM-byte är en bluff där illvilliga parter riktar sig mot mobiltelefonoperatörer för att få tillgång till offrens bankkonton, virtuella valutakonton och ytterligare känslig information genom att använda social ingenjörskonst, insiderhot eller nätfisketekniker. Social ingenjörskonst innebär att en brottsling utger sig för att vara offrets mobilnummer genom att lura mobiloperatören att byta offrets mobilnummer till ett SIM-kort som är i brottslingens ägo, vilket gör att den illvilliga parten kan komma åt offrets samtal, sms och annan data, men detta är bara en av de tre metoder som används för att stjäla pengar från offer.
EES: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
Insiderhot äger rum när en kriminell aktör betalar en mobiloperatörsanställd för att byta offrets SIM-kort till ett kort som för närvarande finns i brottslingens ägo. Skadliga parter kan också använda nätfisketekniker för att komma åt offrens känsliga data och stjäla pengar från offret genom deras bankdata eller tredjepartstjänster som PayPal eller Venmo. Denna nivå av åtkomst till ett offers celldata tillåter sedan en skadlig part att komma in till allt från textmeddelandeverifiering till SMS-baserad tvåfaktorsautentisering för att utnyttja offrens känsliga information.
“Tjänsteleverantörer måste gå från mer förenklade sätt att validera identitet till mer sofistikerade,” sade Clements. “PIN-koder som är unika för varje användares konto kan vara ett sätt att lägga till ytterligare säkerhet till processen, och frågor om “out of wallet” är ett annat alternativ som fungerar genom att verifiera mycket svårare att kompromissa med information som de tre senaste hemadresserna eller bilarna. Det kan vara mer besvärligt för alla, men det är helt enkelt inte längre lönsamt att förlita sig på information som rutinmässigt har äventyrats för att validera en persons identitet.”
Skydda dig från SIM-byte
FBI uppmuntrar både mobiltelefonanvändare och företag som tillhandahåller tjänster att vidta ytterligare säkerhetsåtgärder för att skydda sin personliga information. För mobiltelefonanvändare ger byrån följande tips:
- Annonsera inte information om finansiella tillgångar, inklusive ägande eller investering av kryptovaluta, på webbplatser och forum för sociala medier.
- Ge inte ditt mobilnummer kontoinformation via telefon till representanter som begär ditt kontolösenord eller pinkod. Verifiera samtalet genom att ringa din mobiloperatörs kundtjänst.
- Undvik att lägga ut personlig information på nätet, såsom mobilnummer, adress eller annan personlig identifieringsinformation.
- Använd en variant av unika lösenord för att komma åt onlinekonton.
- Var medveten om eventuella ändringar i SMS-baserad anslutning.
- Använd starka multifaktorautentiseringsmetoder som biometri, fysiska säkerhetstokens eller fristående autentiseringsprogram för att komma åt onlinekonton.
- Lagra inte lösenord, användarnamn eller annan information för enkel inloggning på mobila enhetsapplikationer.
EES: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
För mobiloperatörer rekommenderar FBI följande åtgärder:
- Utbilda anställda och genomför utbildningar om SIM-byte.
- Inspektera noggrant inkommande e-postadresser som innehåller officiell korrespondens för att se om det finns små ändringar som kan få bedrägliga adresser att framstå som legitima och likna faktiska kunders namn.
- Ställ in strikta säkerhetsprotokoll som gör det möjligt för anställda att effektivt verifiera kundens autentiseringsuppgifter innan de ändrar sina nummer till en ny enhet.
- Autentisera samtal från tredje parts auktoriserade återförsäljare som begär kundinformation.
Om användare tror att de har blivit offer för SIM-byte, uppmuntrar FBI mobilanvändare att först kontakta sina mobiloperatörer omedelbart för att återta kontrollen över sitt telefonnummer och sedan komma åt sina onlinekonton för att ändra sina lösenord som skyddar deras känsliga data. Det rekommenderas också att kontakta finansinstitut för att skicka ut en förebyggande varning om misstänkt aktivitet, tillsammans med att rapportera eventuella aktiviteter till lokala brottsbekämpande myndigheter eller det lokala FBI-fältkontoret.
