Los atacantes cibernéticos utilizan estafas de tarjetas SIM para robar dinero e información

SIM Swapping Attacks Let Scammers Steal Money and Information

La primera tarjeta SIM se desarrolló hace unos 29 años, en 1991. En este momento, es muy probable que haya al menos una tarjeta SIM muy cerca de usted, y aunque rara vez se lo piensa mucho, la vida sin este pequeño chip de silicio está incrustado En un trozo de plástico sería muy diferente. Cuando se trata de la comunicación inalámbrica, las tarjetas SIM son indispensables y, durante los últimos años, también nos han ayudado a conectarnos a Internet mientras viajan. Ni siquiera mencionaremos los ejércitos de dispositivos de Internet de las cosas habilitados para SIM que se están volviendo cada vez más comunes. El impacto que tienen las tarjetas SIM en nuestra vida cotidiana es bastante importante, pero podría ser aún más significativo si los estafadores deciden abusar de ellas.

Intercambio de SIM en acción

El sitio web financiero británico ThisIsMoney.co.uk publicó recientemente la historia de Ryan Finnegan , un escocés de 37 años que vio cómo se agotaba su cuenta bancaria después de un ataque de intercambio de SIM. Hemos hablado del intercambio de tarjetas SIM en el pasado, y la historia de Ryan Finnegan muestra cuán implacablemente efectiva puede ser esta técnica.

Todo comenzó cuando el Sr. Finnegan recibió un mensaje de texto de Tesco Mobile, su proveedor de servicios de comunicaciones móviles, agradeciéndole por ponerse en contacto con el departamento de servicio al cliente de la compañía de telecomunicaciones. La cosa era que, en realidad, no se había contactado con ninguna persona de servicio al cliente. Llamó a Tesco Mobile, quien le dijo que algo sospechoso podría estar sucediendo, pero como no había nada visiblemente mal en su cuenta, no había necesidad de preocuparse.

El consejo de "no te preocupes" fue malo. Poco después, recibió otro mensaje de texto, esta vez de TSB, su banco. Fue una confirmación de su registro de banca en línea lo que fue extraño considerando el hecho de que anteriormente había optado por no utilizar el sistema de banca en línea. Antes de que pudiera reaccionar, los estafadores habían extraído £ 2,500 de la cuenta bancaria del Sr. Finnegan.

Las empresas de telecomunicaciones y su papel en el intercambio de SIM

Hemos hablado en el pasado sobre cómo la mayoría de los ataques cibernéticos se basan en ingeniería social simple en lugar de piratas informáticos súper sofisticados y ataques de día cero. Sin embargo, cuando los delincuentes deciden hacer trucos mentales, con frecuencia se dirigen directamente a la víctima. Con el intercambio de SIM, utilizan sus habilidades de ingeniería social en los departamentos de servicio al cliente de las compañías de telecomunicaciones.

El trabajo de un swapper de SIM es convencer al proveedor de servicios para que transfiera el número de la víctima a otra tarjeta SIM. Como puede ver en el caso del Sr. Finnegan, esto les permite hacerse pasar por el objetivo y hacer todo tipo de daños, incluida la autenticación de dos factores y el robo de dinero.

En el pasado, transferir un número de teléfono a una nueva tarjeta SIM significaba ingresar a la oficina de la compañía de telecomunicaciones y proporcionar algún tipo de identificación. Para mayor comodidad, las compañías de telecomunicaciones ahora le permiten hacerlo por teléfono, incluso si el número desde el que llama no es el que está intentando cambiar.

Durante su investigación, ThisIsMoney.co.uk preguntó a algunos de los principales proveedores de servicios móviles del Reino Unido sobre los procedimientos cuando se transfiere un número por teléfono. Tesco Mobile prefirió no hacer comentarios, pero el informe sugiere que se trata de una cuestión de seguridad. En el caso del Sr. Finnegan, la pregunta fue "¿Cuál es tu color favorito?" al parecer, y los swappers de SIM hicieron cinco llamadas consecutivas al departamento de servicio al cliente antes de que adivinaran correctamente la respuesta. A pesar de esto, Tesco Mobile no pudo detectar nada sospechoso.

El resto de los proveedores de servicios respondieron a ThisIsMoney.co.uk, y la mayoría de ellos reveló que también confían en las preguntas de seguridad. Las fallas de este mecanismo de autenticación en particular se han discutido en cierta extensión. De hecho, la mayoría de las empresas de telecomunicaciones requieren información adicional antes de permitir la transferencia de números, pero aun así, en la era de las redes sociales, la mera presencia de una pregunta de seguridad como un medio para verificar la identidad de un usuario no es aceptable.

¿Qué pueden hacer los usuarios sobre el intercambio de SIM?

Ryan Finnegan terminó recuperando su dinero, lo que es una buena noticia, pero es justo decir que muchos otros como él no serán tan afortunados. En cualquier caso, prevenir un ataque es menos estresante que intentar recuperarse de él. ¿Entonces que puedes hacer?

Como siempre, el primer paso es conocer la amenaza y darse cuenta de que es muy real. Es fácil pensar que los estafadores no se molestarán con Joe Average, pero Action Fraud, un servicio británico de información sobre delitos informáticos, registró casi 550 ataques exitosos de intercambio de SIM en el lapso de tres años, lo que demuestra que "no sucederá Para mí "la mentalidad no te va a hacer ningún favor.

Conozca cómo su proveedor de telecomunicaciones maneja las transferencias de números telefónicos y considere qué puede hacer para aprovechar al máximo los mecanismos que se le imponen. A veces, no puede escapar a las preguntas de seguridad, pero puede hacerlas un poco más útiles para proteger sus datos. Es poco probable que los estafadores adivinen, por ejemplo, que el nombre de su perro es "monóxido de dihidrógeno".

Por último, pero no por ello menos importante, esté atento a cualquier cosa sospechosa y, si detecta algo incorrecto, no pierda tiempo informándolo a los proveedores responsables.

February 26, 2019

Deja una respuesta

¡IMPORTANTE! Para poder continuar, debe resolver las siguientes matemáticas simples.
Please leave these two fields as is:
¿Qué es 6 + 2?