美國(guó) FCC 督促運(yùn)營(yíng)商升級(jí)措施，防止手機(jī) SIM 卡調(diào)換和移植攻擊

IT之家 10 月 2 日消息 據(jù) 9to5 Mac 報(bào)道，美國(guó)聯(lián)邦通信委員會(huì)（FCC）正在呼吁運(yùn)營(yíng)商實(shí)施更好的安全保護(hù)措施，防止 SIM 卡調(diào)換和移植攻擊。

這些攻擊是犯罪分子進(jìn)行身份盜竊的常見方式，并接管了從諸如 iPhone Apple ID 到銀行賬戶等的任何東西。

背景

SIM 調(diào)換攻擊是指攻擊者說服運(yùn)營(yíng)商將你的電話號(hào)碼分配給一個(gè)新的 SIM 卡。移植攻擊是指以你的名義在一個(gè)新的運(yùn)營(yíng)商那里創(chuàng)建一個(gè)賬戶，攻擊者讓運(yùn)營(yíng)商將你的手機(jī)號(hào)碼轉(zhuǎn)移到他們控制的新賬戶上。

IT之家獲悉，在這兩種情況下，攻擊者都會(huì)收到你的賬戶的雙因素認(rèn)證（2FA）驗(yàn)證碼，這可以與網(wǎng)絡(luò)釣魚攻擊相結(jié)合，竊取你的身份。這種類型的欺詐最糟糕的方面是，受害者幾乎不可能證明自己的身份，因?yàn)楣粽邥?huì)收到為重設(shè)密碼而發(fā)送的任何短信驗(yàn)證碼。(這就是為什么短信是一種可怕的 2FA 形式的原因之一)

去年的一項(xiàng)研究發(fā)現(xiàn)，美國(guó)運(yùn)營(yíng)商未能適當(dāng)保護(hù)他們的客戶免受這些攻擊。

所用的方法簡(jiǎn)單得可笑：打電話的人聲稱忘記了主要安全問題的答案，然后繼續(xù)聲稱，他們之所以不能回答關(guān)于他們的日期和出生地等問題，是因?yàn)樗麄冊(cè)谠O(shè)置賬戶時(shí)犯了錯(cuò)誤。

令人難以置信的是，運(yùn)營(yíng)商客戶服務(wù)代表隨后允許他們僅僅通過說出最近撥打的兩個(gè)電話號(hào)碼來進(jìn)行認(rèn)證。正如研究報(bào)告所指出的，說服別人給一個(gè)未知號(hào)碼打電話是非常簡(jiǎn)單的，只需留下語音留言或發(fā)送短信。三家運(yùn)營(yíng)商有時(shí)甚至接受來電認(rèn)證，這意味著攻擊者只需用一次性手機(jī)撥打受害者的電話就可以了。

FCC 呼吁加強(qiáng)對(duì) SIM 卡調(diào)換攻擊的保護(hù)

FCC 表示，很明顯，這個(gè)問題需要得到解決。

“FCC 已經(jīng)收到了許多消費(fèi)者的投訴，他們因 SIM 卡調(diào)換和移植欺詐而遭受了巨大的困擾、不便和經(jīng)濟(jì)損失。此外，最近的數(shù)據(jù)泄露事件暴露了客戶信息，有可能使這些攻擊更容易得逞?！?/p>

該委員會(huì)希望迫使運(yùn)營(yíng)商使用更安全的方法來驗(yàn)證提出這些請(qǐng)求的客戶的身份。

“聯(lián)邦通信委員會(huì)今天開始了一個(gè)正式的規(guī)則制定過程，目的是為了應(yīng)對(duì)用戶身份模塊（SIM）調(diào)換騙局和移植輸出欺詐，這兩種騙局都是壞人用來竊取消費(fèi)者的手機(jī)賬戶而不需要對(duì)消費(fèi)者的手機(jī)進(jìn)行實(shí)際控制 [...]。

它建議修改客戶專有網(wǎng)絡(luò)信息（CPNI）和本地號(hào)碼可移植性規(guī)則，要求運(yùn)營(yíng)商在將客戶的電話號(hào)碼重定向到新設(shè)備或運(yùn)營(yíng)商之前采用安全的方法來驗(yàn)證客戶。它還建議要求供應(yīng)商在客戶賬戶上出現(xiàn) SIM 卡變更或移植請(qǐng)求時(shí)立即通知客戶。”

下一步是公眾咨詢程序。

同時(shí)，你可以通過采取一些預(yù)防措施，將你成為這種類型的攻擊受害者的風(fēng)險(xiǎn)降到最低。

如果你的運(yùn)營(yíng)商允許你為賬戶設(shè)置一個(gè) PIN 或密碼，請(qǐng)這樣做：

• 對(duì)于 2FA，只要提供給你這個(gè)選項(xiàng)，就一定要使用認(rèn)證器應(yīng)用程序，而不是短信。

• 對(duì)任何要求提供個(gè)人數(shù)據(jù)的電話、短信或電子郵件持懷疑態(tài)度。

• 遵循建議，保護(hù)自己免受網(wǎng)絡(luò)釣魚攻擊。這類攻擊通常與 SIM 卡調(diào)換攻擊相結(jié)合。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。