SIM卡交换诈骗事件回顾

2018年7月12日，美国的加利福尼亚警方逮捕了一名大学生——Joel Ortiz，该学生攻击了数十个手机号码，窃取了总额超过500万美元的加密货币。这是首例被报道的人为涉嫌使用日益流行的SIM卡交换技术或SIM卡劫持窃取比特币、其他加密货币以及社交媒体账户的案件。Ortiz和他的同伙专门针对那些涉足加密货币和区块链的人。

紧接着，2018年8月15日，美国投资者Michael Terpin向AT&T提起了一起价值高达2.24亿美元的诉讼。因为他认为这家电信巨头向黑客提供了访问他手机号码的途径，从而导致了一场重大的加密货币盗窃事件的发生。Michael Terpin是一位总部位于波多黎各的企业家，他也是TransformGroup inc .的首席执行官，同时他还是BitAngels（面向比特币投资人的天使团队）和数字货币基金BitAngels DApps Fund的联合创始人。Terpin声称他在7个月的时间里遭遇了两次黑客攻击，这直接导致他损失了价值2400万美元的加密货币：他向加州律师事务所Greenberg Glusker提交的长达69页的起诉书中提到了两起分别发生在2017年6月11日和2018年1月7日的黑客攻击案件。根据该文件显示，两次黑客攻击中AT&T都未能保护他的的数字身份。

SIM卡交换诈骗：电信供应商与金融账户之间的关系？

所谓的SIM卡交换技术，就是通过欺骗电信提供商，将目标手机号码转移到犯罪分子控制的SIM卡上。一旦犯罪分子控制了目标的手机号码，犯罪分子就可以利用它来重置受害者的密码并登录他们的在线帐户（加密货币帐户和金融账户是最常见的目标）。简单来说，“SIM 卡交换”是一种复杂的社会工程学攻击，别有用心者会收集特定目标的身份识别信息，以便向运营商证明“我就是你”。所以在这种情况下，即使帐户受双重身份验证保护，这种方法仍然有效。去年的一项调查显示，这种攻击也被称为“端口诈骗（port out scam）”，相对容易操作并且已经非常普遍。

SIM卡交换是一个引导电信供应商的过程，比如T-Mobile将被攻击目标的手机号码转移到了攻击者所持有的SIM卡上。一旦黑客收到手机号码，他们就可以用来重置受害者的密码并侵入他们的账户，这其中就包括了加密货币交易所的账户。

目前，美国执法部门已经将 “SIM卡交换诈骗”作为打击加密货币欺诈的“重中之重”。

根据卡巴斯基实验室近一年的追踪，像这样的攻击现在很普遍，网络犯罪分子利用“SIM卡交换诈骗”不仅窃取凭证并捕获通过短信发送的OTP（一次性密码），而且还对受害者造成财务损失。

如果有人窃取了你的手机号码，你将面临很多问题，特别是因为我们的大多数现代双因素身份验证系统都基于可以使用此技术拦截的SMS。犯罪分子可以通过密码重置发送到你的手机劫持你的帐户。除了以上所说的加密货币和银行账户劫持外，更糟糕的是，他们可以使用被劫持的号码来攻击你的工作电子邮件和文档。

“SIM卡交换诈骗”对新兴的移动支付的影响

移动支付现在在发展中国家很大，基于移动手机的汇款允许用户访问融资和小额融资服务，并通过移动设备轻松存取，提取和支付商品和服务。但是现在这些移动支付遭受了有史以来的最大一波攻击，因为所有这些攻击都是由大规模进行的SIM卡交换欺诈所驱动的。

以巴西和莫桑比克为例，这两个国家的SIM卡交换欺诈率很高，这两国都讲同一种语言（葡萄牙语）并面临同样的问题。通过使用社会工程甚至简单的网络钓鱼攻击，欺诈者控制客户的手机号码以接收移动货币交易，或收集家庭银行OTP以完成资金转移或窃取用户的钱。

在本文中，我们将详细介绍非常有组织的网络犯罪如何发展自己的欺诈生态系统，以及莫桑比克如何解决SIM卡交换欺诈计划中的资金被盗问题，其中移动支付是日常生活的重要组成部分。

网络犯罪分子是如何进行“SIM卡交换诈骗”的？

诈骗开始于欺诈者通过使用网络钓鱼电子邮件，通过底下黑市购买相关信息，进而通过社会工程或在数据泄漏后获取信息来收集有关受害者的详细信息。一旦欺诈者获得了必要的信息，他们就会联系受害者使用的移动电信运行商。欺诈者使用社交工程技术让电信运行商将受害者的手机号码移至欺诈者自己的SIM卡上，例如，冒充受害者并声称他们丢失了手机。最后，他们要求在新的SIM卡上激活此号码。

此时，受害者的手机就会失去与网络的连接，且欺诈者将接收针对受害者的所有SMS和语音呼叫。这允许欺诈者拦截通过短信或致电受害者的手机发送的任何一次性密码，并最终使用基于SMS或手机呼叫认证的所有服务。

研究人员发现，移动运营商使用的安全保护流程很脆弱，使SIM卡交换攻击很容易进行。例如，在某些运行商的流程中，为了验证你的身份，运营商可能会要求客户提供一些基本信息，例如全名，出生日期，最后一次充值凭证的金额，号码的最后五个数，等等。但实践中，欺诈者完全可以在社交媒体上找到这些信息或使用TrueCaller等应用程序根据号码获取来电者姓名。

不过攻击者的目标有时是运营商，而不是个人。当运营商在小城市的分支机构工作的员工有时无法识别欺诈性或掺假的文件时，就会发生这种情况，尤其是位于报刊亭或购物中心的分支机构，这使得欺诈者能够激活新的SIM卡。

另外，诈骗者有时会贿赂内部人员，每激活一张SIM卡支付10至15美元。当欺诈者发送旨在窃取运营商系统凭据的网络钓鱼电子邮件时，会发生最严重的攻击。具有讽刺意味的是，大多数这些系统都不使用双因素身份验证。有时，此类电子邮件的目标是在运营商的网络上安装恶意软件，所有欺诈者只需要一个凭证，就能进入运营商的系统。

针对着名名人或政客的SIM卡交换可能需要花费数千美元，这些费用在地下黑市都明码标价：

网络犯罪分子对此类攻击非常感兴趣，其中一些人决定将其作为一项服务出售给其他人。通常情况下，罪犯可以在两三个小时内毫不费力地实施攻击，因为他们已经进入了运营商的系统或跟内部腐败人员打好了招呼。

如何知道你的手机发生了“SIM卡交换”攻击

当你的手机在信号很强的地方突然没有信号了，且时间很长，就表示可能有威胁了。

上图是本文的作者去年在一家巴西酒店出差时，大约有30分钟，手机突然失去了连接功能的截图。

经过多番努力无果后，他尝试重新启动设备并再次试图与运营商连接，但还是没有成功。之后通过向运营商的客服人员询问，才知道有人报告此号码“丢失或被盗”，并要求在另一张SIM卡上激活它。

对WhatsApp的攻击目前非常猖獗

WhatsApp是许多国家中最受欢迎的即时通讯工具，巴西的欺诈者使用该应用程序在一项名为“WhatsApp克隆”的攻击中实施诈骗。在SIM卡交换之后，罪犯所做的第一件事就是加载WhatsApp和所有受害者的聊天记录和联系人。然后他们开始以受害者的名义发送消息，比如假装被绑架情况，要求对方立即付款。

还有一些攻击是专门针对公司高管们的，在SIM卡交换之后，联系财务部门转账。

巴西的SIM卡交换攻击示例

在2013年Nubank（虚拟信用卡）在巴西成功推出之后，如Banco Inter，Next，Digio和Neon相继出现，他们都与数字帐户绑定，且仍然依靠通过SMS进行双因素身份验证。这就为欺诈者实施SIM卡交换提供了方便。

欺诈者进行SIM卡交换后，在另一张SIM卡上激活了受害者的号码。一旦获得此访问权限，欺诈者就会以受害者的名义使用应用程序中发布的信用卡进行多次非法操作。

莫桑比克的SIM卡交换攻击示例

而在莫桑比克，微型金融服务非常发达，使用者仅需要一部手机即可搞定一切。

像M-Pesa这样的移动支付系统在非洲产生了巨大的影响。在莫桑比克，每年约有50亿美元通过该平台进行交易，相当于该国GDP的约41％，而在肯尼亚这样的成熟和人口稠密的市场，这一数字高达330亿美元，占GDP总量的48％。

大多数本地银行依赖于一次性密码（OTP），许多人是不使用物理或软件令牌，因为这会增加客户的成本和复杂性，特别是那些低收入的客户。

手机诈骗的趋势在上升

随着金融包容性服务在发展中国家的发展，欺诈者越来越猖狂。大多数SIM卡交换欺诈都是内外勾结的结果。比如银行员工负责提供有关帐户余额的信息以及有关受害者的详细信息。有了这些信息，欺诈者就会进行网络钓鱼或SMmiShing攻击，以访问受害者的在线银行账户及其验证码。

在攻击开始，由于银行使用短信进行OTP，犯罪分子需要进行SIM卡交换或SIM卡劫持，将所有受害者的通信重定向到他们所拥有的新SIM卡。为实现这一目标，运营商的一些员工负责激活手机号。

解决方案

银行可以在48-72小时内，禁止更换SIM卡的手机号码进行任何交易

当SIM卡被劫持时，欺诈者很可能会在SIM卡交换后几分钟内，快速从银行账户转移资金，以防止受害者有足够的时间向移动运营商投诉并重新控制该号码。

在SIM卡交换后用户号码被阻止后，受害者通常认为存在网络问题，只有当他们发现附近的其他人仍然有网络连接时，他们才决定去了解发生了什么。这中间就会浪费很多时间。

以莫桑比克为例，莫桑比克的所有移动运营商都为银行提供了一个平台，该平台使用一个私有API，如果SIM卡交换涉及一个特定的手机号码，且该号码与一个银行账户关联的时间超过了预先设定的时间，该API就会发出警告。然后银行决定下一步做什么。

大多数银行禁止在过去48小时内更换SIM卡的手机号码进行任何交易，而其他银行则选择72小时的更长时间。48-72小时的时间被认为是安全时间，在此期间，如果用户是未经授权更换SIM卡的受害者，他们将与运营商联系。

平台工作流程的安全设置

银行如果通过VPN连接到不同的移动运营商，因此所有的流量都是安全的。在线银行系统向相应的移动运营商进行REST API查询，并将移动电话号码(MSISDN)和时间段(24-72小时)作为参数。

如果查询为False，则银行允许正常交易。如果为True，则银行会阻止交易，并可能会请求其他步骤来验证交易。需要注意的是，移动运营商不会与第三方(即银行)共享个人身份信息(PII)。

一旦平台工作流程实施，源自SIM卡交换攻击的网上银行欺诈就会急剧下降。不过目前，还几乎没有涉及实施反SIM卡交换平台的银行的案例。

必须避免以语音和短信作为真实身份的验证机制

以上说的两种措施都是临时解决方案，终极解决方案是必须避免以语音和短信作为真实身份的验证机制。

移动运营商依赖于旧协议进行通信，比如7号信令系统(signal System No. 7)或SS7，该系统最初是在上世纪70年代开发的。该协议存在安全漏洞，允许截取SMS消息或语音通话。按照今天的标准，如果你想保护银行账户等高价值信息，手机/短信不再被认为是一种可靠的安全方法。2018年，Reddit的一次攻击就给大多数公司敲响了警钟。根据Reddit的说法，黑客攻击发生在2018年6月14日到2018年6月18日之间，当时一名黑客利用基于SMS的双因素身份验证（2FA）通过短信拦截来入侵其部分员工的账户。然后，黑客设法从2007数据库备份和一些Reddit用户的当前电子邮件地址访问旧的salted 和 哈希密码。

而且美国国家标准与技术研究院（NIST）也明确要弃用以双因素验证的方式来保护SMS的安全，如果可能，我们建议用户选择其他方式，例如在移动应用程序中生成OTP(如谷歌Authenticator)或使用物理令牌。

生物识别技术的应用

一些运营商已经实现了额外的安全机制，要求用户通过语音生物识别，使用诸如“我的语音就是我的密码”之类的口令进行身份验证。这项技术非常安全，甚至可以检测语音是否为录音，或者用户是否患有流感。然而，它被认为是一个昂贵的解决方案，特别是对于新兴市场，并且需要一些额外的努力来集成后端系统。

自动短信服务

当请求SIM更改时，运营商可以自动进行消息通知：“你的号码将从此SIM卡停用。”以提醒所有者已经有SIM更改请求。不过，这不会阻止劫持的发生，只会提醒用户，以便他们在恶意活动的情况下能够更快地做出响应。

在WhatsApp上激活2FA

为了避免WhatsApp被劫持，使用设备上的六位数PIN激活2FA至关重要。如果发生劫持事件，你将拥有另一层不易绕过的安全层。

不要在TrueCaller等类似应用中公开自己的信息

Truecaller是一款帮助用户将那些骚扰电话或者不想接的电话全部屏蔽的软件，但是，正如我们之前提到的，欺诈者使用此工具来查找有关目标的更多信息。因此，请不要在TrueCaller等类似应用中公开自己的信息。

本文翻译自：https://securelist.com/large-scale-sim-swap-fraud/90353/

本文作者xiaohui，原文地址：  https://www.4hou.com/web/17431.html