美國沒有使用的SIM交換修復
SIM交換黑客依賴於在竊取受害者的銀行憑證後截取通過文本發送的一次性密碼,或者使用電話號碼作為密碼重置後備。
蓋蒂圖片
大約一年前,AndréTenreiro被邀請參加他所工作的電話運營商的首席技術官 - 莫桑比克最大的電話運營商之一 - 以及該國最大銀行的執行官之間的會議。後者已經看到基於所謂的SIM交換攻擊的欺詐模式不斷升級,其中黑客欺騙或賄賂電話公司員工切換與受害者電話號碼相關聯的SIM卡。然後,攻擊者使用該被劫持的號碼來接管銀行或其他在線帳戶。根據Tenreiro的說法,該銀行每月發生超過17次SIM交換欺詐。問題只是越來越嚴重。
“來自銀行的紳士,我可以從他的臉上看到他絕望。他想做點什麼,但他不知道該做什麼,”特雷羅說,他要求WIRED不要確定他為之工作的電話運營商。“他在尋求我們的幫助。作為移動運營商,我們也有責任打擊這種欺詐行為。”
安迪·格林伯格是一位有線的安全作家,也是即將出版的書“ 沙蠶:網絡戰的新時代”和“尋找克里姆林宮最危險的黑客”的作者。
SIM交換黑客依賴於在竊取受害者的銀行憑證後截取通過文本發送的一次性密碼,或者使用電話號碼作為密碼重置後備。因此,電話公司Tenreiro說,提供了一個簡單的解決方案:運營商將建立一個系統,讓銀行在進行匯款之前查詢與銀行賬戶相關的最近SIM卡掉期的電話記錄。如果在最近兩三天內發生SIM交換,則轉移將被阻止。因為SIM交換受害者通常可以在幾分鐘內看到他們的手機被禁用,所以這個時間窗口讓他們在欺詐者可以利用之前報告犯罪。
到2018年8月,莫桑比克最大的銀行正在與所有主要運營商進行SIM交換檢查。莫桑比克計算機應急準備小組的Tenreiro表示,“它在一夜之間將SIM卡交換欺詐行為減少到接近零”,並在本月早些時候在卡巴斯基的安全分析師峰會上談到SIM交換欺詐解決方案。
莫桑比克並不是唯一一個針對SIM交換欺詐日益流行的解決方案,後者越來越多地用於從劫持Instagram帳戶到竊取加密貨幣等各方面。根據WIRED對銀行和電信行業的安全公司和高管的採訪,非洲其他國家的公司,包括尼日利亞,南非和肯尼亞 - 其中移動支付的流行使SIM交換成為一個特別嚴重的威脅 - 已經採取了類似措施運營商檢查補救措施到位。英國和澳大利亞也是如此。但是有一個國家的專家認為這個問題沒有得到解決:美國。
安全公司Flashpoint的安全研究主管Allison Nixon說:“這是非洲領先於我們的事情。” “這是人們在美國一直要求的東西,但沒有人真正向前邁進。”
交換會面
一些安全公司和銀行業高管指出美國運營商是主要障礙。他們根本沒有為其他國家銀行實施的安全檢查提供實時SIM交換數據。事實上,安全公司Telesign已經試圖向美國銀行提供SIM交換欺詐檢查,但發現大多數美國電話公司還不願意與它們合作。
“長話短說,大多數美國運營商都無法獲得數據,”Telesign的聯合創始人Stacey Stubblefield說。她說到目前為止,只有一家美國電話運營商提供了實時的SIM交換數據,但拒絕透露具體數據。
Stubblefield承認,很難知道銀行或其他潛在的SIM交換攻擊目標可能會與運營商私下削減什麼交易。這些利益相關者對他們的解決方案進行了緊縮,部分原因是為了避免提供任何可能有助於欺詐者規避其安全措施的線索。但Stubblefield仍然相信運營商沒有提供足夠的數據來允許在美國進行實時SIM交換檢查。但Stubblefield表示,Telesign正在與兩家尋求數據的銀行進行談判 - 這肯定表明他們已經沒有這樣做了。
美國七大銀行共同擁有一家名為預警的安全公司,該公司與Telesign一樣,致力於為銀行提供可幫助他們防止欺詐的數據。早期警告的“認證傳播者”Hal Granoff表示,運營商實際上向早期預警及其所有者提供了一些數據。但他拒絕透露具體是什麼,並承認他希望他們能走得更遠。“他們正在分享信息,”格蘭諾夫說。“他們可以分享更多。”
“這樣的事情必鬚髮生。”
ALLISON NIXON,FLASHPOINT
當WIRED聯繫到美國四大運營商時,他們都拒絕回复記錄或向電信行業協會CITA提出問題。CTIA技術和網絡安全副總裁John Marinho認為,儘管美國運營商可能不提供實時SIM交換檢查,但這部分是因為美國還有其他保護措施,例如基於銀行安裝在智能手機上的移動應用程序的地理定位檢查,以及因素認證。(當然,後者正是SIM互換試圖規避的安全措施。)
“安全使用多個層和工具來降低風險;你不能只專注於一個工具。沒有銀彈,你必須使用所有可用的工具,”Marinho在一封電子郵件中寫道。“但這些運營商與許多大品牌合作,確實密切合作,以確保他們能夠領先於壞人,以保護消費者免受欺詐。”
Marinho補充說,由於規模的困難,美國運營商無法共享實時SIM交換數據。他說,美國銀行處理太多用戶執行過多交易,無法根據運營商數據進行檢查。隱私也是一個問題。如果沒有明確的選擇同意,運營商會謹慎地向用戶提供有關用戶的任何第三方實時數據。“運營商是否會考慮賬戶流失?是的,”Marinho寫道。“但是,他們能否以傲慢的方式分享這些信息?否則,運營商將隱私和安全視為首要任務,並遵守有關消費者許可的任何適用法律。”
然而,一位與WIRED談話並要求不透露姓名的銀行業高管對情況的描述不同。他駁回了隱私解釋並轉而指出了一個財務問題:目前還沒有足夠的美國銀行要求實時SIM交換數據來激勵運營商出售它。“運營商沒有商業模式來開發支持這種系統的系統,”他說。“人們不願意為製造這個系統付出代價。如果有人願意為此付錢,電話運營商願意將你的數據出售給任何人。”
幫助解決莫桑比克SIM交換欺詐問題的Tenreiro補充說,可以在沒有隱私妥協的情況下實施修復。他的運營商只是設置了一個API,響應銀行對SIM交換數據的查詢,同時不提供其他信息。“所有運營商都會回复二進制響應'是/否',無論用戶是否在最近X天內進行了SIM卡交換,”他說。“我們認為隱私風險很小。”
強制修復
當然,還有其他方法可以阻止SIM卡交換欺詐:通常,技術公司,加密貨幣公司和銀行不應該依賴電話號碼的安全性。這意味著避免基於它們的任何密碼重置後備,並通過應用程序或硬件令牌而不是短信使用雙因素身份驗證,正如安全專家多年來所建議的那樣。
Flashpoint公司的尼克松表示,SIM卡交換目標公司和運營商之間的實時檢查也應該成為解決方案的一部分。她表示,如果承運人沒有動力去實現這一目標,監管機構可能會進行干預。“我不知道私營部門是否可以解決這個問題。這可能是政府必須介入和解決的問題,”她說。“我不知道電信公司是否真的計劃提供這項服務,或者等待政府,但這樣的事情必定會發生。”
沒有留言:
張貼留言