FBI注意到SIM卡替換攻擊類型急劇增加 導(dǎo)致民眾損失超過(guò)6800萬(wàn)美元

在一份公共服務(wù)公告中，聯(lián)邦調(diào)查局透露，與SIM卡替換有關(guān)的犯罪行為有驚人的增長(zhǎng)，在2021年給美國(guó)公眾造成了價(jià)值超過(guò)6800萬(wàn)美元的損失。隨著越來(lái)越多的消費(fèi)者將其在線賬戶的訪問(wèn)和恢復(fù)與電話號(hào)碼綁定為2FA（二次驗(yàn)證），攻擊者通過(guò)惡意掛失SIM卡，并將所有數(shù)據(jù)如電話、恢復(fù)短信和OTP轉(zhuǎn)移到他們選擇的設(shè)備上，從而繞過(guò)這一額外的安全措施。
FBI建議除了2FA驗(yàn)證外，使用認(rèn)證應(yīng)用程序和物理安全令牌可以增加安全性，并建議人們避免在社交媒體網(wǎng)站和論壇上分享個(gè)人和財(cái)務(wù)細(xì)節(jié)。
SIM卡替換攻擊的基本方式是嫌犯竊取一定數(shù)量的個(gè)人數(shù)據(jù)（包括受害者電話號(hào)碼），假裝機(jī)主聯(lián)系另一家運(yùn)營(yíng)商，聲稱手機(jī)已丟失并說(shuō)服運(yùn)營(yíng)商提供新手機(jī)和SIM卡，斷開(kāi)“舊”線路，然后從云端傳輸受害者的應(yīng)用程序和信息。通過(guò)SIM卡替換攻擊，罪犯可以用不同的設(shè)備控制手機(jī)以持續(xù)獲得更多有用的信息。
SIM替換攻擊迅速增加的一個(gè)證據(jù)是聯(lián)邦調(diào)查局去年收到的相關(guān)投訴的數(shù)量。在2018年1月至2020年12月期間，總共有320起此類投訴，總計(jì)導(dǎo)致1200萬(wàn)美元的損失。然而，僅在2021年，在1611起SIM卡替換攻擊投訴被記錄以后，這一數(shù)字急劇上升到6800萬(wàn)美元。
雖然基于短信的2FA為賬戶增加了額外的安全層，但這種方法長(zhǎng)期以來(lái)一直被認(rèn)為是有風(fēng)險(xiǎn)的，因?yàn)橐苿?dòng)運(yùn)營(yíng)商發(fā)來(lái)的短信仍然可以通過(guò)惡意軟件竊取或冒充，攻擊者會(huì)欺騙運(yùn)營(yíng)商將電話號(hào)碼換到他們選擇的SIM卡上。
SIM卡替換的受害者也可能因?yàn)樵谏缃幻襟w和公共論壇上宣傳他們的金融資產(chǎn)而自食其果，這也包括分享加密貨幣投資上的細(xì)節(jié)，正如聯(lián)邦調(diào)查局的咨詢中指出的那樣。
當(dāng)然，用戶可以通過(guò)強(qiáng)度更大的密碼（和密碼管理器），以及采用更強(qiáng)大的2FA方法，而不是基于短信來(lái)解決依賴短信的問(wèn)題問(wèn)題?；趹?yīng)用程序的認(rèn)證器生成代碼，或像Google這樣的無(wú)代碼實(shí)施，已被證明可以提高賬戶保護(hù)能力。
此外，聯(lián)邦調(diào)查局還建議移動(dòng)運(yùn)營(yíng)商對(duì)員工進(jìn)行有關(guān)SIM卡替換的教育和培訓(xùn)，并采取更嚴(yán)格的措施來(lái)驗(yàn)證與將號(hào)碼換到新設(shè)備上有關(guān)的真實(shí)用戶請(qǐng)求。
文章轉(zhuǎn)載自cnBeta.COM