在一份公共服務公告中,聯邦調查局透露,與SIM卡替換有關的犯罪行為有驚人的增長,在2021年給美國公眾造成了價值超過6800萬美元的損失。隨着越來越多的消費者將其在線賬戶的訪問和恢復與電話號碼綁定為2FA(二次驗證),攻擊者通過惡意掛失SIM卡,並將所有數據如電話、恢復短信和OTP轉移到他們選擇的設備上,從而繞過這一額外的安全措施。
FBI建議除了2FA驗證外,使用認證應用程序和物理安全令牌可以增加安全性,並建議人們避免在社交媒體網站和論壇上分享個人和財務細節。
SIM卡替換攻擊的基本方式是嫌犯竊取一定數量的個人數據(包括受害者電話號碼),假裝機主聯繫另一家運營商,聲稱手機已丟失並說服運營商提供新手機和SIM卡,斷開“舊”線路,然後從雲端傳輸受害者的應用程序和信息。通過SIM卡替換攻擊,罪犯可以用不同的設備控制手機以持續獲得更多有用的信息。
SIM替換攻擊迅速增加的一個證據是聯邦調查局去年收到的相關投訴的數量。在2018年1月至2020年12月期間,總共有320起此類投訴,總計導致1200萬美元的損失。然而,僅在2021年,在1611起SIM卡替換攻擊投訴被記錄以後,這一數字急劇上升到6800萬美元。
雖然基於短信的2FA為賬戶增加了額外的安全層,但這種方法長期以來一直被認為是有風險的,因為移動運營商發來的短信仍然可以通過惡意軟件竊取或冒充,攻擊者會欺騙運營商將電話號碼換到他們選擇的SIM卡上。
SIM卡替換的受害者也可能因為在社交媒體和公共論壇上宣傳他們的金融資產而自食其果,這也包括分享加密貨幣投資上的細節,正如聯邦調查局的諮詢中指出的那樣。
當然,用戶可以通過強度更大的密碼(和密碼管理器),以及採用更強大的2FA方法,而不是基於短信來解決依賴短信的問題問題。基於應用程序的認證器生成代碼,或像Google這樣的無代碼實施,已被證明可以提高賬戶保護能力。
此外,聯邦調查局還建議移動運營商對員工進行有關SIM卡替換的教育和培訓,並採取更嚴格的措施來驗證與將號碼換到新設備上有關的真實用戶請求。