在一份公共服务公告中,联邦调查局透露,与SIM卡替换有关的犯罪行为有惊人的增长,在2021年给美国公众造成了价值超过6800万美元的损失。随着越来越多的消费者将其在线账户的访问和恢复与电话号码绑定为2FA(二次验证),攻击者通过恶意挂失SIM卡,并将所有数据如电话、恢复短信和OTP转移到他们选择的设备上,从而绕过这一额外的安全措施。
FBI建议除了2FA验证外,使用认证应用程序和物理安全令牌可以增加安全性,并建议人们避免在社交媒体网站和论坛上分享个人和财务细节。
SIM卡替换攻击的基本方式是嫌犯窃取一定数量的个人数据(包括受害者电话号码),假装机主联系另一家运营商,声称手机已丢失并说服运营商提供新手机和SIM卡,断开“旧”线路,然后从云端传输受害者的应用程序和信息。通过SIM卡替换攻击,罪犯可以用不同的设备控制手机以持续获得更多有用的信息。
SIM替换攻击迅速增加的一个证据是联邦调查局去年收到的相关投诉的数量。在2018年1月至2020年12月期间,总共有320起此类投诉,总计导致1200万美元的损失。然而,仅在2021年,在1611起SIM卡替换攻击投诉被记录以后,这一数字急剧上升到6800万美元。
虽然基于短信的2FA为账户增加了额外的安全层,但这种方法长期以来一直被认为是有风险的,因为移动运营商发来的短信仍然可以通过恶意软件窃取或冒充,攻击者会欺骗运营商将电话号码换到他们选择的SIM卡上。
SIM卡替换的受害者也可能因为在社交媒体和公共论坛上宣传他们的金融资产而自食其果,这也包括分享加密货币投资上的细节,正如联邦调查局的咨询中指出的那样。
当然,用户可以通过强度更大的密码(和密码管理器),以及采用更强大的2FA方法,而不是基于短信来解决依赖短信的问题问题。基于应用程序的认证器生成代码,或像Google这样的无代码实施,已被证明可以提高账户保护能力。
此外,联邦调查局还建议移动运营商对员工进行有关SIM卡替换的教育和培训,并采取更严格的措施来验证与将号码换到新设备上有关的真实用户请求。