SIM交换攻击是一种复杂的多阶段犯罪,具有巨大的破坏潜力。根据普林斯顿大学1月份发表的一项学术研究,美国的五家主要预付费无线运营商极易受到SIM卡劫持攻击。具体指攻击者致电移动服务提供商,诱使电信公司员工将电话号码更改为攻击者控制的SIM卡,使他们能够重设密码并访问敏感的在线帐户,例如电子邮件收件箱,在线银行门户,甚至加密货币交易系统。目前,T-Mobile在审查研究结果后决定不使用通话记录进行客户身份验证。执法机构现已对SIM交换诈骗的兴起发出警告,这是一种复杂但有利可图的账户接管欺诈形式。FBI的2019年互联网犯罪报告(PDF)概述了从一名罪犯手中没收1800万美元、5辆汽车和900,000美元的房屋,生动地说明了SIM交换攻击的经济动机。对于通常富有的目标人群来说,损失可能高达数十万甚至数百万美元。简而言之,SIM交换攻击是指网络犯罪分子窃取您的一定数量的个人数据,包括您的电话号码。他假装是你,联系了另一家声称丢失了“他的”手机的运营商。他说服运营商提供新手机和SIM卡,断开“旧”线路,并从云端传输“他的”应用程序和信息。通过SIM交换攻击,犯罪分子可以使用不同的设备控制您的手机。当发生SIM交换攻击时,您可能会将手机误认为是坏掉的手机。当您尝试修理手机时,黑客正在快速搜索您的应用程序和文件,窃取私人数据,甚至可能窃取您的银行帐户信息。去年,全球有超过3000万人遭受了SIM交换攻击。整个诈骗计划一般分为两个阶段。第一阶段是攻击者通过不同渠道收集受害者的敏感个人信息(如姓名、地址、出生日期),例如钓鱼攻击、地下市场或数据泄露事件。日期、电话号码、帐户登录凭据等)。收集到所需信息后,攻击的第二阶段开始。攻击者利用受害人的电话号码和虚假身份证明文件冒充受害人,向电信运营商报告手机丢失,并竞价将电话号码转移到攻击者的SIM卡上。SIM卡交换攻击的受害者最明显的经历是手机网络信号突然丢失,导致他们无法拨打电话、使用移动网络和接收短信。之后,他们的社交网络账户的登录密码被更改,无法再登录,例如Google、WhatsApp、Facebook。SIM交换攻击者会伪装成受害者以控制他们的手机号码SIM交换骗局有多常见?伦敦金融城金融欺诈部门获得的数据显示,2019年,英国的受害者总共损失了近920万英镑(约合1120万美元),高于2015年的约436,000英镑(约合530,000美元)。报告的事件数量在此期间,从144人跃升至720人,受害者每次更换SIM卡平均损失约3,000英镑。2020年3月,欧洲刑警组织发出警告,称SIM卡劫持的威胁在整个欧洲都在增加,并透露调查已逮捕了12名涉嫌盗窃超过300万欧元(330万美元)的嫌疑人。加密货币投资者是SIM卡劫持者的热门目标,一名投资者现在起诉一名纽约少年窃取价值2380万美元的数字货币。然而,与更自动化的帐户接管欺诈形式(例如撞库攻击)相比,SIM交换仍然是少数。加拿大魁北克麦吉尔大学信息研究学院的一位副教授认为这不是一种非常常见的攻击,因为它需要攻击者付出“巨大的努力”。“市场上还有许多其他更容易的目标,”他解释道。虽然这是一种耗时的攻击途径,但在针对“特定的高价值受害者”时,该技术是值得的。正如2019年Twitter首席执行官杰克·多尔西(JackDorsey)在他的个人Twitter账户被黑后发现的那样,“价值”可能存在于受害者的公开资料中,而不仅仅是他们的银行账户。但你不必超级富有或超级有名才能成为目标,拥有一个不错的信用卡额度就足够了。英国报道了一起案件,犯罪分子在48小时内在受害人的信用卡上花费了13,000英镑(14,000美元)。即使你不是超级富有,你也可能成为目标。复杂的多阶段策略首先要确定合适的现金或信贷充足的受害者及其手机号码。然后,犯罪分子通过暗网数据泄露销售、受害者的社交媒体信息,或通过网络钓鱼电子邮件、短信或电话等社会工程来欺骗他们,从而收集个人信息。攻击者试图通过电话、网络聊天甚至商店来欺骗受害者的移动运营商,方法是将受害者的电话号码转移到他们自己的SIM卡上。如果成功,他们可以使用受害者的手机号码作为双因素身份验证(2FA)的一种形式来重置密码并访问他们的在线帐户。默认情况下,移动和在线帐户的身份验证设置很少是安全的。因此,我们建议富人考虑运营商和敏感网络帐户提供的每一项额外安全措施。例如,一些运营商“可以限制”客户帐户,以便只有政府颁发的ID才能在店内进行更改。如何保护自己免受SIM卡交换欺诈使您的设备软件保持最新状态;不要点击来自未知发件人的电子邮件中的链接或下载附件;不要在社交媒体上分享敏感的个人信息;尽可能使用带身份验证的2FA应用程序;如果您成为SIM交换攻击的受害者,请提醒您的移动运营商任何可疑的连接丢失和更改密码;Web帐户和基于电话的身份验证还记得上面提到的普林斯顿研究人员吗?在他们于2020年4月发布的论文的更新版本(PDF)中,发现17个站点披露了身份验证漏洞,但只有4个站点在发出警报后提高了安全性。
