大規(guī)模的SIM卡交換詐騙趨勢(shì)已經(jīng)形成
SIM卡交換詐騙事件回顧
2018年7月12日,美國的加利福尼亞警方逮捕了一名大學(xué)生——Joel Ortiz,該學(xué)生攻擊了數(shù)十個(gè)手機(jī)號(hào)碼,竊取了總額超過500萬美元的加密貨幣。這是首例被報(bào)道的人為涉嫌使用日益流行的SIM卡交換技術(shù)或SIM卡劫持竊取比特幣、其他加密貨幣以及社交媒體賬戶的案件。Ortiz和他的同伙專門針對(duì)那些涉足加密貨幣和區(qū)塊鏈的人。
緊接著,2018年8月15日,美國投資者M(jìn)ichael Terpin向AT&T提起了一起價(jià)值高達(dá)2.24億美元的訴訟。因?yàn)樗J(rèn)為這家電信巨頭向黑客提供了訪問他手機(jī)號(hào)碼的途徑,從而導(dǎo)致了一場(chǎng)重大的加密貨幣盜竊事件的發(fā)生。Michael Terpin是一位總部位于波多黎各的企業(yè)家,他也是TransformGroup inc .的首席執(zhí)行官,同時(shí)他還是BitAngels(面向比特幣投資人的天使團(tuán)隊(duì))和數(shù)字貨幣基金B(yǎng)itAngels DApps Fund的聯(lián)合創(chuàng)始人。Terpin聲稱他在7個(gè)月的時(shí)間里遭遇了兩次黑客攻擊,這直接導(dǎo)致他損失了價(jià)值2400萬美元的加密貨幣:他向加州律師事務(wù)所Greenberg Glusker提交的長達(dá)69頁的起訴書中提到了兩起分別發(fā)生在2017年6月11日和2018年1月7日的黑客攻擊案件。根據(jù)該文件顯示,兩次黑客攻擊中AT&T都未能保護(hù)他的的數(shù)字身份。
SIM卡交換詐騙:電信供應(yīng)商與金融賬戶之間的關(guān)系?
所謂的SIM卡交換技術(shù),就是通過欺騙電信提供商,將目標(biāo)手機(jī)號(hào)碼轉(zhuǎn)移到犯罪分子控制的SIM卡上。一旦犯罪分子控制了目標(biāo)的手機(jī)號(hào)碼,犯罪分子就可以利用它來重置受害者的密碼并登錄他們的在線帳戶(加密貨幣帳戶和金融賬戶是最常見的目標(biāo))。簡單來說,“SIM 卡交換”是一種復(fù)雜的社會(huì)工程學(xué)攻擊,別有用心者會(huì)收集特定目標(biāo)的身份識(shí)別信息,以便向運(yùn)營商證明“我就是你”。所以在這種情況下,即使帳戶受雙重身份驗(yàn)證保護(hù),這種方法仍然有效。去年的一項(xiàng)調(diào)查顯示,這種攻擊也被稱為“端口詐騙(port out scam)”,相對(duì)容易操作并且已經(jīng)非常普遍。
SIM卡交換是一個(gè)引導(dǎo)電信供應(yīng)商的過程,比如T-Mobile將被攻擊目標(biāo)的手機(jī)號(hào)碼轉(zhuǎn)移到了攻擊者所持有的SIM卡上。一旦黑客收到手機(jī)號(hào)碼,他們就可以用來重置受害者的密碼并侵入他們的賬戶,這其中就包括了加密貨幣交易所的賬戶。
目前,美國執(zhí)法部門已經(jīng)將 “SIM卡交換詐騙”作為打擊加密貨幣欺詐的“重中之重”。
根據(jù)卡巴斯基實(shí)驗(yàn)室近一年的追蹤,像這樣的攻擊現(xiàn)在很普遍,網(wǎng)絡(luò)犯罪分子利用“SIM卡交換詐騙”不僅竊取憑證并捕獲通過短信發(fā)送的OTP(一次性密碼),而且還對(duì)受害者造成財(cái)務(wù)損失。
如果有人竊取了你的手機(jī)號(hào)碼,你將面臨很多問題,特別是因?yàn)槲覀兊拇蠖鄶?shù)現(xiàn)代雙因素身份驗(yàn)證系統(tǒng)都基于可以使用此技術(shù)攔截的SMS。犯罪分子可以通過密碼重置發(fā)送到你的手機(jī)劫持你的帳戶。除了以上所說的加密貨幣和銀行賬戶劫持外,更糟糕的是,他們可以使用被劫持的號(hào)碼來攻擊你的工作電子郵件和文檔。
“SIM卡交換詐騙”對(duì)新興的移動(dòng)支付的影響
移動(dòng)支付現(xiàn)在在發(fā)展中國家很大,基于移動(dòng)手機(jī)的匯款允許用戶訪問融資和小額融資服務(wù),并通過移動(dòng)設(shè)備輕松存取,提取和支付商品和服務(wù)。但是現(xiàn)在這些移動(dòng)支付遭受了有史以來的一波攻擊,因?yàn)樗羞@些攻擊都是由大規(guī)模進(jìn)行的SIM卡交換欺詐所驅(qū)動(dòng)的。
以巴西和莫桑比克為例,這兩個(gè)國家的SIM卡交換欺詐率很高,這兩國都講同一種語言(葡萄牙語)并面臨同樣的問題。通過使用社會(huì)工程甚至簡單的網(wǎng)絡(luò)釣魚攻擊,欺詐者控制客戶的手機(jī)號(hào)碼以接收移動(dòng)貨幣交易,或收集家庭銀行OTP以完成資金轉(zhuǎn)移或竊取用戶的錢。
在本文中,我們將詳細(xì)介紹非常有組織的網(wǎng)絡(luò)犯罪如何發(fā)展自己的欺詐生態(tài)系統(tǒng),以及莫桑比克如何解決SIM卡交換欺詐計(jì)劃中的資金被盜問題,其中移動(dòng)支付是日常生活的重要組成部分。
網(wǎng)絡(luò)犯罪分子是如何進(jìn)行“SIM卡交換詐騙”的?
詐騙開始于欺詐者通過使用網(wǎng)絡(luò)釣魚電子郵件,通過底下黑市購買相關(guān)信息,進(jìn)而通過社會(huì)工程或在數(shù)據(jù)泄漏后獲取信息來收集有關(guān)受害者的詳細(xì)信息。一旦欺詐者獲得了必要的信息,他們就會(huì)聯(lián)系受害者使用的移動(dòng)電信運(yùn)行商。欺詐者使用社交工程技術(shù)讓電信運(yùn)行商將受害者的手機(jī)號(hào)碼移至欺詐者自己的SIM卡上,例如,冒充受害者并聲稱他們丟失了手機(jī)。他們要求在新的SIM卡上激活此號(hào)碼。
此時(shí),受害者的手機(jī)就會(huì)失去與網(wǎng)絡(luò)的連接,且欺詐者將接收針對(duì)受害者的所有SMS和語音呼叫。這允許欺詐者攔截通過短信或致電受害者的手機(jī)發(fā)送的任何一次性密碼,并最終使用基于SMS或手機(jī)呼叫認(rèn)證的所有服務(wù)。
研究人員發(fā)現(xiàn),移動(dòng)運(yùn)營商使用的安全保護(hù)流程很脆弱,使SIM卡交換攻擊很容易進(jìn)行。例如,在某些運(yùn)行商的流程中,為了驗(yàn)證你的身份,運(yùn)營商可能會(huì)要求客戶提供一些基本信息,例如全名,出生日期,最后一次充值憑證的金額,號(hào)碼的最后五個(gè)數(shù),等等。但實(shí)踐中,欺詐者完全可以在社交媒體上找到這些信息或使用TrueCaller等應(yīng)用程序根據(jù)號(hào)碼獲取來電者姓名。
不過攻擊者的目標(biāo)有時(shí)是運(yùn)營商,而不是個(gè)人。當(dāng)運(yùn)營商在小城市的分支機(jī)構(gòu)工作的員工有時(shí)無法識(shí)別欺詐性或摻假的文件時(shí),就會(huì)發(fā)生這種情況,尤其是位于報(bào)刊亭或購物中心的分支機(jī)構(gòu),這使得欺詐者能夠激活新的SIM卡。
另外,詐騙者有時(shí)會(huì)賄賂內(nèi)部人員,每激活一張SIM卡支付10至15美元。當(dāng)欺詐者發(fā)送旨在竊取運(yùn)營商系統(tǒng)憑據(jù)的網(wǎng)絡(luò)釣魚電子郵件時(shí),會(huì)發(fā)生最嚴(yán)重的攻擊。具有諷刺意味的是,大多數(shù)這些系統(tǒng)都不使用雙因素身份驗(yàn)證。有時(shí),此類電子郵件的目標(biāo)是在運(yùn)營商的網(wǎng)絡(luò)上安裝惡意軟件,所有欺詐者只需要一個(gè)憑證,就能進(jìn)入運(yùn)營商的系統(tǒng)。
針對(duì)著名人或政客的SIM卡交換可能需要花費(fèi)數(shù)千美元,這些費(fèi)用在地下黑市都明碼標(biāo)價(jià):
網(wǎng)絡(luò)犯罪分子對(duì)此類攻擊非常感興趣,其中一些人決定將其作為一項(xiàng)服務(wù)出售給其他人。通常情況下,罪犯可以在兩三個(gè)小時(shí)內(nèi)毫不費(fèi)力地實(shí)施攻擊,因?yàn)樗麄円呀?jīng)進(jìn)入了運(yùn)營商的系統(tǒng)或跟內(nèi)部腐敗人員打好了招呼。
如何知道你的手機(jī)發(fā)生了“SIM卡交換”攻擊
當(dāng)你的手機(jī)在信號(hào)很強(qiáng)的地方突然沒有信號(hào)了,且時(shí)間很長,就表示可能有威脅了。
上圖是本文的作者去年在一家巴西酒店出差時(shí),大約有30分鐘,手機(jī)突然失去了連接功能的截圖。
經(jīng)過多番努力無果后,他嘗試重新啟動(dòng)設(shè)備并再次試圖與運(yùn)營商連接,但還是沒有成功。之后通過向運(yùn)營商的客服人員詢問,才知道有人報(bào)告此號(hào)碼“丟失或被盜”,并要求在另一張SIM卡上激活它。
對(duì)WhatsApp的攻擊目前非常猖獗
WhatsApp是許多國家中受歡迎的即時(shí)通訊工具,巴西的欺詐者使用該應(yīng)用程序在一項(xiàng)名為“WhatsApp克隆”的攻擊中實(shí)施詐騙。在SIM卡交換之后,罪犯所做的一件事就是加載WhatsApp和所有受害者的聊天記錄和聯(lián)系人。然后他們開始以受害者的名義發(fā)送消息,比如假裝被綁架情況,要求對(duì)方立即付款。
還有一些攻擊是專門針對(duì)公司高管們的,在SIM卡交換之后,聯(lián)系財(cái)務(wù)部門轉(zhuǎn)賬。
巴西的SIM卡交換攻擊示例
在2013年Nubank(虛擬信用卡)在巴西成功推出之后,如Banco Inter,Next,Digio和Neon相繼出現(xiàn),他們都與數(shù)字帳戶綁定,且仍然依靠通過SMS進(jìn)行雙因素身份驗(yàn)證。這就為欺詐者實(shí)施SIM卡交換提供了方便。
欺詐者進(jìn)行SIM卡交換后,在另一張SIM卡上激活了受害者的號(hào)碼。一旦獲得此訪問權(quán)限,欺詐者就會(huì)以受害者的名義使用應(yīng)用程序中發(fā)布的信用卡進(jìn)行多次非法操作。
莫桑比克的SIM卡交換攻擊示例
而在莫桑比克,微型金融服務(wù)非常發(fā)達(dá),使用者僅需要一部手機(jī)即可搞定一切。
像M-Pesa這樣的移動(dòng)支付系統(tǒng)在非洲產(chǎn)生了巨大的影響。在莫桑比克,每年約有50億美元通過該平臺(tái)進(jìn)行交易,相當(dāng)于該國GDP的約41%,而在肯尼亞這樣的成熟和人口稠密的市場(chǎng),這一數(shù)字高達(dá)330億美元,占GDP總量的48%。
大多數(shù)本地銀行依賴于一次性密碼(OTP),許多人是不使用物理或軟件令牌,因?yàn)檫@會(huì)增加客戶的成本和復(fù)雜性,特別是那些低收入的客戶。
手機(jī)詐騙的趨勢(shì)在上升
隨著金融包容性服務(wù)在發(fā)展中國家的發(fā)展,欺詐者越來越猖狂。大多數(shù)SIM卡交換欺詐都是內(nèi)外勾結(jié)的結(jié)果。比如銀行員工負(fù)責(zé)提供有關(guān)帳戶余額的信息以及有關(guān)受害者的詳細(xì)信息。有了這些信息,欺詐者就會(huì)進(jìn)行網(wǎng)絡(luò)釣魚或SMmiShing攻擊,以訪問受害者的在線銀行賬戶及其驗(yàn)證碼。
在攻擊開始,由于銀行使用短信進(jìn)行OTP,犯罪分子需要進(jìn)行SIM卡交換或SIM卡劫持,將所有受害者的通信重定向到他們所擁有的新SIM卡。為實(shí)現(xiàn)這一目標(biāo),運(yùn)營商的一些員工負(fù)責(zé)激活手機(jī)號(hào)。
解決方案
銀行可以在48-72小時(shí)內(nèi),禁止更換SIM卡的手機(jī)號(hào)碼進(jìn)行任何交易
當(dāng)SIM卡被劫持時(shí),欺詐者很可能會(huì)在SIM卡交換后幾分鐘內(nèi),快速從銀行賬戶轉(zhuǎn)移資金,以防止受害者有足夠的時(shí)間向移動(dòng)運(yùn)營商投訴并重新控制該號(hào)碼。
在SIM卡交換后用戶號(hào)碼被阻止后,受害者通常認(rèn)為存在網(wǎng)絡(luò)問題,只有當(dāng)他們發(fā)現(xiàn)附近的其他人仍然有網(wǎng)絡(luò)連接時(shí),他們才決定去了解發(fā)生了什么。這中間就會(huì)浪費(fèi)很多時(shí)間。
以莫桑比克為例,莫桑比克的所有移動(dòng)運(yùn)營商都為銀行提供了一個(gè)平臺(tái),該平臺(tái)使用一個(gè)私有API,如果SIM卡交換涉及一個(gè)特定的手機(jī)號(hào)碼,且該號(hào)碼與一個(gè)銀行賬戶關(guān)聯(lián)的時(shí)間超過了預(yù)先設(shè)定的時(shí)間,該API就會(huì)發(fā)出警告。然后銀行決定下一步做什么。
大多數(shù)銀行禁止在過去48小時(shí)內(nèi)更換SIM卡的手機(jī)號(hào)碼進(jìn)行任何交易,而其他銀行則選擇72小時(shí)的更長時(shí)間。48-72小時(shí)的時(shí)間被認(rèn)為是安全時(shí)間,在此期間,如果用戶是未經(jīng)授權(quán)更換SIM卡的受害者,他們將與運(yùn)營商聯(lián)系。
平臺(tái)工作流程的安全設(shè)置
銀行如果通過VPN連接到不同的移動(dòng)運(yùn)營商,因此所有的流量都是安全的。在線銀行系統(tǒng)向相應(yīng)的移動(dòng)運(yùn)營商進(jìn)行REST API查詢,并將移動(dòng)電話號(hào)碼(MSISDN)和時(shí)間段(24-72小時(shí))作為參數(shù)。
如果查詢?yōu)镕alse,則銀行允許正常交易。如果為True,則銀行會(huì)阻止交易,并可能會(huì)請(qǐng)求其他步驟來驗(yàn)證交易。需要注意的是,移動(dòng)運(yùn)營商不會(huì)與第三方(即銀行)共享個(gè)人身份信息(PII)。
一旦平臺(tái)工作流程實(shí)施,源自SIM卡交換攻擊的網(wǎng)上銀行欺詐就會(huì)急劇下降。不過目前,還幾乎沒有涉及實(shí)施反SIM卡交換平臺(tái)的銀行的案例。
必須避免以語音和短信作為真實(shí)身份的驗(yàn)證機(jī)制
以上說的兩種措施都是臨時(shí)解決方案,終極解決方案是必須避免以語音和短信作為真實(shí)身份的驗(yàn)證機(jī)制。
移動(dòng)運(yùn)營商依賴于舊協(xié)議進(jìn)行通信,比如7號(hào)信令系統(tǒng)(signal System No. 7)或SS7,該系統(tǒng)最初是在上世紀(jì)70年代開發(fā)的。該協(xié)議存在安全漏洞,允許截取SMS消息或語音通話。按照今天的標(biāo)準(zhǔn),如果你想保護(hù)銀行賬戶等高價(jià)值信息,手機(jī)/短信不再被認(rèn)為是一種可靠的安全方法。2018年,Reddit的一次攻擊就給大多數(shù)公司敲響了警鐘。根據(jù)Reddit的說法,黑客攻擊發(fā)生在2018年6月14日到2018年6月18日之間,當(dāng)時(shí)一名黑客利用基于SMS的雙因素身份驗(yàn)證(2FA)通過短信攔截來入侵其部分員工的賬戶。然后,黑客設(shè)法從2007數(shù)據(jù)庫備份和一些Reddit用戶的當(dāng)前電子郵件地址訪問舊的 salted 和 哈希密碼。
而且美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)也明確要棄用以雙因素驗(yàn)證的方式來保護(hù)SMS的安全,如果可能,我們建議用戶選擇其他方式,例如在移動(dòng)應(yīng)用程序中生成OTP(如谷歌Authenticator)或使用物理令牌。
生物識(shí)別技術(shù)的應(yīng)用
一些運(yùn)營商已經(jīng)實(shí)現(xiàn)了額外的安全機(jī)制,要求用戶通過語音生物識(shí)別,使用諸如“我的語音就是我的密碼”之類的口令進(jìn)行身份驗(yàn)證。這項(xiàng)技術(shù)非常安全,甚至可以檢測(cè)語音是否為錄音,或者用戶是否患有流感。然而,它被認(rèn)為是一個(gè)昂貴的解決方案,特別是對(duì)于新興市場(chǎng),并且需要一些額外的努力來集成后端系統(tǒng)。
自動(dòng)短信服務(wù)
當(dāng)請(qǐng)求SIM更改時(shí),運(yùn)營商可以自動(dòng)進(jìn)行消息通知:“你的號(hào)碼將從此SIM卡停用。”以提醒所有者已經(jīng)有SIM更改請(qǐng)求。不過,這不會(huì)阻止劫持的發(fā)生,只會(huì)提醒用戶,以便他們?cè)趷阂饣顒?dòng)的情況下能夠更快地做出響應(yīng)。
在WhatsApp上激活2FA
為了避免WhatsApp被劫持,使用設(shè)備上的六位數(shù)PIN激活2FA至關(guān)重要。如果發(fā)生劫持事件,你將擁有另一層不易繞過的安全層。
不要在TrueCaller等類似應(yīng)用中公開自己的信息
Truecaller是一款幫助用戶將那些騷擾電話或者不想接的電話全部屏蔽的軟件,但是,正如我們之前提到的,欺詐者使用此工具來查找有關(guān)目標(biāo)的更多信息。因此,請(qǐng)不要在TrueCaller等類似應(yīng)用中公開自己的信息。
