FBI注意到SIM卡替換攻擊類型急劇增加 導(dǎo)致民眾損失超過6800萬美元

在一份公共服務(wù)公告中，聯(lián)邦調(diào)查局透露，與SIM卡替換有關(guān)的犯罪行為有驚人的增長，在2021年給美國公眾造成了價值超過6800萬美元的損失。隨著越來越多的消費者將其在線賬戶的訪問和恢復(fù)與電話號碼綁定為2FA（二次驗證），攻擊者通過惡意掛失SIM卡，并將所有數(shù)據(jù)如電話、恢復(fù)短信和OTP轉(zhuǎn)移到他們選擇的設(shè)備上，從而繞過這一額外的安全措施。
FBI建議除了2FA驗證外，使用認(rèn)證應(yīng)用程序和物理安全令牌可以增加安全性，并建議人們避免在社交媒體網(wǎng)站和論壇上分享個人和財務(wù)細(xì)節(jié)。
SIM卡替換攻擊的基本方式是嫌犯竊取一定數(shù)量的個人數(shù)據(jù)（包括受害者電話號碼），假裝機主聯(lián)系另一家運營商，聲稱手機已丟失并說服運營商提供新手機和SIM卡，斷開“舊”線路，然后從云端傳輸受害者的應(yīng)用程序和信息。通過SIM卡替換攻擊，罪犯可以用不同的設(shè)備控制手機以持續(xù)獲得更多有用的信息。
SIM替換攻擊迅速增加的一個證據(jù)是聯(lián)邦調(diào)查局去年收到的相關(guān)投訴的數(shù)量。在2018年1月至2020年12月期間，總共有320起此類投訴，總計導(dǎo)致1200萬美元的損失。然而，僅在2021年，在1611起SIM卡替換攻擊投訴被記錄以后，這一數(shù)字急劇上升到6800萬美元。
雖然基于短信的2FA為賬戶增加了額外的安全層，但這種方法長期以來一直被認(rèn)為是有風(fēng)險的，因為移動運營商發(fā)來的短信仍然可以通過惡意軟件竊取或冒充，攻擊者會欺騙運營商將電話號碼換到他們選擇的SIM卡上。
SIM卡替換的受害者也可能因為在社交媒體和公共論壇上宣傳他們的金融資產(chǎn)而自食其果，這也包括分享加密貨幣投資上的細(xì)節(jié)，正如聯(lián)邦調(diào)查局的咨詢中指出的那樣。
當(dāng)然，用戶可以通過強度更大的密碼（和密碼管理器），以及采用更強大的2FA方法，而不是基于短信來解決依賴短信的問題問題?；趹?yīng)用程序的認(rèn)證器生成代碼，或像Google這樣的無代碼實施，已被證明可以提高賬戶保護(hù)能力。
此外，聯(lián)邦調(diào)查局還建議移動運營商對員工進(jìn)行有關(guān)SIM卡替換的教育和培訓(xùn)，并采取更嚴(yán)格的措施來驗證與將號碼換到新設(shè)備上有關(guān)的真實用戶請求。
文章轉(zhuǎn)載自cnBeta.COM