SIM交换攻击是一种复杂的、多阶段的犯罪行为,具有很大的潜在的破坏性。
今年一月普林斯顿大学昨日发表的一项学术研究指出,美国五家主要的预付费无线运营商,极易受到SIM卡劫持攻击。其特指攻击者致电移动服务提供商,诱使电信企业员工将电话号码更改为攻击者控制的SIM卡,使之能够重置密码并访问敏感的在线账户,比如电子邮件收件箱、网银门户、甚至加密货币交易系统。
目前,T-Mobile在审查了研究结果之后,决定不再使用呼叫记录进行客户身份验证。
执法机构目前已经对SIM交换诈骗的兴起发出了警告,这是一种复杂但利润丰厚的账户接收诈骗形式。
FBI在其2019年互联网犯罪报告(PDF)中概述了从一名罪犯处查获的价值1800万美元、5辆汽车和价值90万美元的房屋,这生动地说明了实施SIM swap攻击的经济动机。对于通常很富有的目标人群来说,损失可能高达数十万甚至数百万美元。
SIM卡交换攻击,简而言之,就是网络罪犯窃取了你的一定数量的个人数据,包括你的电话号码。他假装是你联系了另一家运营商,声称丢失了“他的”手机。他说服运营商提供新手机和SIM卡,断开“旧”线路,然后从云端传输“他的”应用程序和信息。通过SIM卡交换攻击,罪犯可以用不同的设备控制你的手机。发生SIM卡交换攻击时,你会误以为手机坏了。当你试着修理电话时,黑客就会迅速地在你的应用程序和文件中搜寻,盗窃私人数据,甚至可能是你的银行账户信息。去年,全世界有超过3000万人遭受过SIM卡交换攻击。
整个诈骗计划一般分为二个阶段,第一阶段是指攻击者透过不同途径,如网络钓鱼攻击、地下市场或资料外泄事件等,收集受害者的个人敏感资料(例如姓名、地址、出生日期、电话号码、帐号登入凭证等资讯)。当所需资料齐集后,第二阶段的攻击便展开,攻击者以受害者的电话号码连同虚假身份证明文件,假冒受害者本人,向电讯商报称遗失了手机,申办将其电话号码转移至攻击者的 SIM 卡上。受到SIM交换攻击的受害者,最明显的情况是他们的手机突然失去电讯网络讯号,以致无法拨打电话、无法使用行动网络和无法接收短讯。其后,他们的社交网络帐户的登入密码都被改了,再也无法登入,如Google,WhatsApp,Facebook。
SIM交换攻击者会伪装成受害者,以控制他们的手机号码
SIM卡交换诈骗有多普遍?
伦敦市金融欺诈部门获得的数据显示,2019年,英国受害者遭受的损失总计近920万英镑(合1120万美元),高于2015年的约43.6万英镑(合53万美元)。
在这段时间内,被报道的事件数量从144起跃升至720起,受害者每更换一次SIM卡,平均损失约3000英镑。
2020年3月,欧洲刑警组织发布警告,称整个欧洲的SIM卡劫持威胁正在日益增加,并透露一项调查已导致12名涉嫌与盗窃有关的犯罪嫌疑人被捕,涉案金额超过300万欧元(330万美元)。
加密货币投资者是SIM卡劫机者青睐的目标,一名投资者目前正在起诉一名纽约少年,指控他盗窃了价值2380万美元的数字货币。
然而,与更自动化的账户接收欺诈形式(如凭证填充攻击)相比,交换SIM卡仍然是少数行为。
加拿大魁北克麦吉尔大学信息研究学院的副教授不认为这是一种很常见的攻击,因为攻击者需要付出“巨大的努力”。他解释道:“市场上还有许多其他更容易实现的目标。”
尽管这是一条很耗时的攻击之路,当针对“特定的高价值受害者”时,这种技术是值得的。
正如Twitter首席执行官杰克•多尔西(Jack Dorsey)在他的个人Twitter账户被黑客攻击后于2019年发现的那样,这种“价值”可能存在于受害者的公开资料中,而不仅仅是他们的银行账户。
但你不必成为超级富豪或超级名人来成为目标,有一个可观的信用卡限额就足够了。
英国报道了一个案例,罪犯在48小时内花了1.3万英镑(1.4万美元)在受害者的信用卡上。
即使你不是超级富豪,你也会成为被攻击的目标。这个复杂的、多阶段的策略首先要确定一个适当的现金或信贷充足的受害者和他们的手机号码。
然后,犯罪分子通过暗网数据泄露销售、受害者的社交媒体信息,或者通过网络钓鱼邮件、短信或电话等社会工程手段欺骗他们,来收集个人信息。
攻击者试图欺骗受害者的移动运营商——通过电话,网络聊天,甚至在商店里——把受害者的电话号码转移到他们自己的SIM卡上。
如果成功,他们可以使用受害者的手机号码作为双因素身份验证(2FA)的形式来重置密码和访问他们的在线账户。
默认情况下,移动和在线账户上的身份验证设置很少是安全的。
因此,我们建议富豪们,将运营商和敏感网络账户提供的每一项额外安全措施都纳入考虑范围。
例如,一些运营商”可以限制“客户账户,以便只能使用政府发行的ID在店内进行更改。
如何保护自己免受SIM卡交换欺诈
- 保持设备软件为最新;
- 不要点击链接或下载来自未知发件人的电子邮件中的附件;
- 不要在社交媒体上分享敏感的个人信息;
- 尽可能将2FA与身份验证应用程序一起使用;
- 如果你成为SIM交换攻击的受害者,提醒你的移动运营商任何可疑的连接丢失和修改密码;
Web帐户和基于电话的身份验证
还记得上面提到普林斯顿大学的研究者吗?他们于2020年4月发表的论文的更新版本(PDF)中,发现17个网站披露了身份验证漏洞,但在他们提醒后只有4个网站的安全性得到了提升。