安全公司Telesign已经试图向美国银行提供SIM交换欺诈检查
大约一年前,AndréTenreiro被邀请参加他所工作的电话运营商的首席技术官 - 莫桑比克最大的电话运营商之一 - 以及该国最大银行的执行官之间的会议。后者已经看到基于所谓的SIM交换攻击的欺诈模式不断升级,其中黑客欺骗或贿赂电话公司员工切换与受害者电话号码相关联的SIM卡。然后,攻击者使用该被劫持的号码来接管银行或其他在线帐户。根据Tenreiro的说法,该银行每月发生超过17次SIM交换欺诈。问题只是越来越严重。
“来自银行的绅士,我可以从他的脸上看到他绝望。他想做点什么,但他不知道该做什么,”特雷罗说,他要求WIRED不要确定他为之工作的电话运营商。“他在寻求我们的帮助。作为移动运营商,我们也有责任打击这种欺诈行为。”
SIM交换黑客依赖于在窃取受害者的银行凭证后截取通过文本发送的一次性密码,或者使用电话号码作为密码重置后备。因此,电话公司Tenreiro说,提供了一个简单的解决方案:运营商将建立一个系统,让银行在进行汇款之前查询与银行账户相关的最近SIM卡掉期的电话记录。如果在最近两三天内发生SIM交换,则转移将被阻止。因为SIM交换受害者通常可以在几分钟内看到他们的手机被禁用,所以这个时间窗口让他们在欺诈者可以利用之前报告犯罪。
到2018年8月,莫桑比克最大的银行正在与所有主要运营商进行SIM交换检查。莫桑比克计算机应急准备小组的Tenreiro表示,“它在一夜之间将SIM卡交换欺诈行为减少到接近零”,并在本月早些时候在卡巴斯基的安全分析师峰会上谈到SIM交换欺诈解决方案。
莫桑比克并不是唯一一个针对SIM交换欺诈日益流行的解决方案,后者越来越多地用于从劫持Instagram帐户到窃取加密货币等各方面。根据WIRED对银行和电信行业的安全公司和高管的采访,非洲其他国家的公司,包括尼日利亚,南非和肯尼亚 - 其中移动支付的流行使SIM交换成为一个特别严重的威胁 - 已经采取了类似措施运营商检查补救措施到位。英国和澳大利亚也是如此。但是有一个国家的专家认为这个问题没有得到解决:美国。
安全公司Flashpoint的安全研究主管Allison Nixon说:“这是非洲领先于我们的事情。”“这是人们在美国一直要求的东西,但没有人真正向前迈进。”
交换会面
一些安全公司和银行业高管指出美国运营商是主要障碍。他们根本没有为其他国家银行实施的安全检查提供实时SIM交换数据。事实上,安全公司Telesign已经试图向美国银行提供SIM交换欺诈检查,但发现大多数美国电话公司还不愿意与它们合作。
“长话短说,大多数美国运营商都无法提供这些数据,”Telesign的联合创始人Stacey Stubblefield表示。她说到目前为止,只有一家美国电话运营商提供了实时SIM交换数据,但拒绝透露具体数据。
Stubblefield承认,很难知道银行或其他潜在的SIM交换攻击目标可能会对运营商私下削减什么。这些利益相关者对他们的解决方案一直守口如瓶,部分原因是为了避免提供任何可能有助于欺诈者规避其安全措施的线索。但Stubblefield仍然相信运营商没有提供足够的数据来允许在美国进行实时SIM交换检查。但Stubblefield表示,Telesign正在与两家寻求数据的银行进行谈判 - 这肯定表明他们已经没有这样做了。
美国七大银行共同拥有一家名为预警的安全公司,该公司与Telesign一样,致力于为银行提供可帮助他们防止欺诈的数据。早期警告的“认证传播者”Hal Granoff表示,运营商实际上向早期预警及其所有者提供了一些数据。但他拒绝透露具体是什么,并承认他希望自己能走得更远。“他们正在分享信息,”格兰诺夫说。“他们可以分享更多。”
当WIRED联系到美国四大运营商时,他们都拒绝回复记录或向电信行业协会CITA提出问题。CTIA技术和网络安全副总裁John Marinho认为,虽然美国运营商可能不提供实时SIM交换检查,但这部分是因为美国还有其他保护措施,例如基于银行安装在智能手机上的移动应用程序的地理位置检查,以及因素认证。(当然,后者正是SIM互换试图规避的安全措施。)
“安全使用多个层和工具来降低风险;你不能只专注于一个工具。没有银弹,你必须使用所有可用的工具,”Marinho在一封电子邮件中写道。“但这些运营商与许多大品牌合作,确实密切合作,以确保他们保持领先于坏人,以保护消费者免受欺诈。”
Marinho补充说,由于规模的困难,美国运营商无法共享实时SIM交换数据。他说,美国银行处理太多用户执行过多交易,无法根据运营商数据进行检查。隐私也是一个问题。如果没有明确的选择同意,运营商会谨慎地提供有关用户的任何第三方实时数据。“运营商是否会考虑账户流失?是的,”Marinho写道。“但是,他们能否以傲慢的方式分享这些信息?否则,运营商将隐私和安全作为首要任务,并遵守有关消费者许可的任何适用法律。”
然而,一位与WIRED谈话并要求不透露姓名的银行业高管对情况的描述不同。他驳回了隐私解释,转而指出了一个财务问题:目前还没有足够的美国银行要求实时的SIM交换数据来激励运营商出售它。“运营商没有商业模式来开发支持这种系统的系统,”他说。“人们不愿意为制造这个系统付出代价。如果有人愿意为此付钱,电话运营商愿意将你的数据出售给任何人。”
至于他的观点,只看运营商目前的丑闻,将消费者的位置数据卖给赏金猎人。从历史上看,运营商对选择同意并未表现出太多担忧。
帮助解决莫桑比克SIM交换欺诈问题的Tenreiro补充说,可以在没有隐私妥协的情况下实施修复。他的运营商只是设置了一个API,响应银行对SIM交换数据的查询,同时不提供其他信息。“所有运营商都会回复二进制响应'是/否',无论用户是否在最近X天内进行了SIM卡交换,”他说。“我们认为隐私风险很小。”
强制修复
当然,还有其他方法可以阻止SIM卡交换欺诈:通常,科技公司,加密货币公司和银行不应该依赖电话号码的安全性。这意味着避免任何基于它们的密码重置回退,并通过应用程序或硬件令牌而不是短信使用双因素身份验证,正如安全专家多年来所建议的那样。
Flashpoint公司的尼克松表示,SIM卡交换目标公司和运营商之间的实时检查也应该成为解决方案的一部分。她表示,如果承运人没有动力使这成为可能,那么监管机构可能不得不进行干预。“我不知道私营部门是否可以解决这个问题。这可能是政府必须介入和解决的问题,”她说。“我不知道电信公司是否真的计划提供这项服务,或者等待政府,但这样的事情必定会发生。”
标签: SIM交换