一場噩夢可能從SIM卡交換攻擊開始
SIM交換攻擊是一種復雜的、多階段的犯罪行為,具有很大的潛在的破壞性。
今年一月普林斯頓大學昨日發表的一項學術研究指出,美國五家主要的預付費無線運營商,極易受到SIM卡劫持攻擊。其特指攻擊者致電移動服務提供商,誘使電信企業員工將電話號碼更改為攻擊者控制的SIM卡,使之能夠重置密碼并訪問敏感的在線賬戶,比如電子郵件收件箱、網銀門戶、甚至加密貨幣交易系統。
目前,T-Mobile在審查了研究結果之后,決定不再使用呼叫記錄進行客戶身份驗證。
執法機構目前已經對SIM交換詐騙的興起發出了警告,這是一種復雜但利潤豐厚的賬戶接收詐騙形式。
FBI在其2019年互聯網犯罪報告(PDF)中概述了從一名罪犯處查獲的價值1800萬美元、5輛汽車和價值90萬美元的房屋,這生動地說明了實施SIM swap攻擊的經濟動機。對于通常很富有的目標人群來說,損失可能高達數十萬甚至數百萬美元。
SIM卡交換攻擊,簡而言之,就是網絡罪犯竊取了你的一定數量的個人數據,包括你的電話號碼。他假裝是你聯系了另一家運營商,聲稱丟失了“他的”手機。他說服運營商提供新手機和SIM卡,斷開“舊”線路,然后從云端傳輸“他的”應用程序和信息。通過SIM卡交換攻擊,罪犯可以用不同的設備控制你的手機。發生SIM卡交換攻擊時,你會誤以為手機壞了。當你試著修理電話時,黑客就會迅速地在你的應用程序和文件中搜尋,盜竊私人數據,甚至可能是你的銀行賬戶信息。去年,全世界有超過3000萬人遭受過SIM卡交換攻擊。
整個詐騙計劃一般分為二個階段,第一階段是指攻擊者透過不同途徑,如網絡釣魚攻擊、地下市場或資料外泄事件等,收集受害者的個人敏感資料(例如姓名、地址、出生日期、電話號碼、帳號登入憑證等資訊)。當所需資料齊集后,第二階段的攻擊便展開,攻擊者以受害者的電話號碼連同虛假身份證明文件,假冒受害者本人,向電訊商報稱遺失了手機,申辦將其電話號碼轉移至攻擊者的 SIM 卡上。受到SIM交換攻擊的受害者,最明顯的情況是他們的手機突然失去電訊網絡訊號,以致無法撥打電話、無法使用行動網絡和無法接收短訊。其后,他們的社交網絡帳戶的登入密碼都被改了,再也無法登入,如Google,WhatsApp,Facebook。
SIM交換攻擊者會偽裝成受害者,以控制他們的手機號碼
SIM卡交換詐騙有多普遍?
倫敦市金融欺詐部門獲得的數據顯示,2019年,英國受害者遭受的損失總計近920萬英鎊(合1120萬美元),高于2015年的約43.6萬英鎊(合53萬美元)。
在這段時間內,被報道的事件數量從144起躍升至720起,受害者每更換一次SIM卡,平均損失約3000英鎊。
2020年3月,歐洲刑警組織發布警告,稱整個歐洲的SIM卡劫持威脅正在日益增加,并透露一項調查已導致12名涉嫌與盜竊有關的犯罪嫌疑人被捕,涉案金額超過300萬歐元(330萬美元)。
加密貨幣投資者是SIM卡劫機者青睞的目標,一名投資者目前正在起訴一名紐約少年,指控他盜竊了價值2380萬美元的數字貨幣。
然而,與更自動化的賬戶接收欺詐形式(如憑證填充攻擊)相比,交換SIM卡仍然是少數行為。
加拿大魁北克麥吉爾大學信息研究學院的副教授不認為這是一種很常見的攻擊,因為攻擊者需要付出“巨大的努力”。他解釋道:“市場上還有許多其他更容易實現的目標。”
盡管這是一條很耗時的攻擊之路,當針對“特定的高價值受害者”時,這種技術是值得的。
正如Twitter首席執行官杰克•多爾西(Jack Dorsey)在他的個人Twitter賬戶被黑客攻擊后于2019年發現的那樣,這種“價值”可能存在于受害者的公開資料中,而不僅僅是他們的銀行賬戶。
但你不必成為超級富豪或超級名人來成為目標,有一個可觀的信用卡限額就足夠了。
英國報道了一個案例,罪犯在48小時內花了1.3萬英鎊(1.4萬美元)在受害者的信用卡上。
即使你不是超級富豪,你也會成為被攻擊的目標。這個復雜的、多階段的策略首先要確定一個適當的現金或信貸充足的受害者和他們的手機號碼。
然后,犯罪分子通過暗網數據泄露銷售、受害者的社交媒體信息,或者通過網絡釣魚郵件、短信或電話等社會工程手段欺騙他們,來收集個人信息。
攻擊者試圖欺騙受害者的移動運營商——通過電話,網絡聊天,甚至在商店里——把受害者的電話號碼轉移到他們自己的SIM卡上。
如果成功,他們可以使用受害者的手機號碼作為雙因素身份驗證(2FA)的形式來重置密碼和訪問他們的在線賬戶。
默認情況下,移動和在線賬戶上的身份驗證設置很少是安全的。
因此,我們建議富豪們,將運營商和敏感網絡賬戶提供的每一項額外安全措施都納入考慮范圍。
例如,一些運營商”可以限制“客戶賬戶,以便只能使用政府發行的ID在店內進行更改。
如何保護自己免受SIM卡交換欺詐
- 保持設備軟件為最新;
- 不要點擊鏈接或下載來自未知發件人的電子郵件中的附件;
- 不要在社交媒體上分享敏感的個人信息;
- 盡可能將2FA與身份驗證應用程序一起使用;
- 如果你成為SIM交換攻擊的受害者,提醒你的移動運營商任何可疑的連接丟失和修改密碼;
Web帳戶和基于電話的身份驗證
還記得上面提到普林斯頓大學的研究者嗎?他們于2020年4月發表的論文的更新版本(PDF)中,發現17個網站披露了身份驗證漏洞,但在他們提醒后只有4個網站的安全性得到了提升。
