来自 科技 2021-10-02 21:49 的文章

联邦通信委员会敦促运营商升级措施,以防止S

10月2日消息据9to5 Mac报道,美国联邦通信委员会(FCC)正在呼吁运营商实施更好的安全措施,以防止SIM卡交换和移植攻击。
 
 
 
这些攻击是犯罪分子实施身份盗窃并接管从iPhone Apple ID到银行账户的一切的常见方式。
 
背景
 
SIM交换攻击是指攻击者说服运营商将您的电话号码分配给新的SIM卡。移植攻击是指在你的名下创建一个新的运营商的账户,攻击者要求运营商将你的手机号码转移到他们控制的新账户。
 
IT之家了解到,在这两种情况下,攻击者都会收到你账户的双因素认证(2FA)验证码,可以结合钓鱼攻击窃取你的身份。这类诈骗最糟糕的一面是,受害者几乎不可能证明自己的身份,因为攻击者会收到任何发送来重置密码的短信验证码。这也是短信是一种可怕的2FA形式的原因之一。
 
去年的一项研究发现,美国航空公司未能适当保护其客户免受这些攻击。
 
使用的方法简单得可笑:打电话的人声称忘记了主要安全问题的答案,然后继续声称他们无法回答关于出生日期和地点的问题的原因是他们在设置帐户时犯了一个错误。
 
令人难以置信的是,运营商的客户服务代表只允许他们说出最后两个电话号码进行认证。正如研究报告中所指出的,说服别人拨打一个未知号码非常简单,只需留言或发一条短信即可。三大运营商有时甚至接受通话认证,也就是说攻击者只需要用一次性手机给受害者打电话。
 
联邦通信委员会呼吁加强对SIM卡交换攻击的保护。
 
联邦通信委员会表示,很明显,这个问题需要解决。
 
“FCC收到了很多消费者的投诉,他们因SIM卡兑换和移植中的欺诈行为而遭受了极大的困扰、不便和经济损失。此外,最近的数据泄露暴露了客户信息,这可能使这些攻击更容易成功。”
该委员会希望迫使运营商使用更安全的方法来验证提出这些请求的客户的身份。
 
“今天,联邦通信委员会启动了正式的规则制定程序,旨在处理用户识别模块(SIM)交换欺诈和移植输出欺诈,这两种欺诈都被坏人用来窃取消费者的手机账户,而实际上并没有控制消费者的手机[...].建议修改客户专有网络信息(CPNI)和本地号码可移植性的规则,并要求运营商在将客户的电话号码重定向到新设备或运营商之前,使用安全方法对客户进行身份验证。它还建议要求供应商立即将客户账户上的SIM卡更改或迁移请求通知客户。”
下一步是公众咨询过程。
 
同时,您可以采取一些预防措施,将成为这种类型攻击的受害者的风险降至最低。
 
如果您的运营商允许您为您的帐户设置个人识别码或密码,请这样做:
 
对于2FA,只要提供了这个选项,就必须使用认证器应用程序,而不是短信。
 
对任何要求提供个人数据的电话、短信或电子邮件保持怀疑。
 
遵循建议,保护自己免受网络钓鱼攻击。这种攻击通常与SIM卡交换攻击相结合。