SIMスワッピング攻撃–ビットコインからInstagramアカウントへのすべての窃盗
多くの場合、人々がパスワードを物理キーと比較するのを見たり聞いたりします。似ている点は明らかですが、かなりの違いがあります。たとえば、キーがないと、ドアのロックを解除できません。ただし、パスワードなしでアカウントにアクセスすることは可能ですが、それはすべてSIMスワッピングと呼ばれる攻撃のおかげです。
Table of Contents
SIMスワッピングとは何ですか?
SIMハイジャックまたはポートアウト詐欺とも呼ばれ、よりわかりやすい名前の1つがあると言っても過言ではありません。被害者の携帯電話番号をハイジャックし、別のSIMカードで使用する行為です。 SIMの交換は数年前から行われており、まだ主流のメディアから大きな注目を集めていませんが、特に10代のサイバー犯罪者が急増しているので、特に人気が高まっているようです。
どのように機能しますか?
SIMスワッピングは個人情報の盗難の一種です。ご存知のように、個人情報の盗難は、詐欺師がデータにアクセスできるという事実によって可能になります。当然のことながら、この場合、彼らはあなたの名前、携帯電話番号、そして場合によっては他のいくつかの詳細を必要とします。正確なメカニズムが何であるかはまだ明確ではありませんが、最近のマザーボードの調査では、セキュリティ対策とそれらを回避するためのテクニックの両方が進化していることが示唆されています。
数年前、詐欺師たちはリークされたデータベースで被害者の情報を見つけて、キャリアに電話しました。 SIMカードを紛失したと主張して被害者になりすまします。彼らは別のものを持っていると言って、番号がそれに移植されることを要求するでしょう。当時、通信事業者のセキュリティプロトコルは完全ではありませんでした。カスタマーサービス担当者は被害者の社会保障番号または自宅の住所を尋ね、ハッカーはそれを提供し、キャリアはその番号を間違ったSIMカードに喜んで移植します。
非常に少数の人々がひどく火傷し、さらなる問題を避けるために、モバイルサービスプロバイダーは認証メカニズムを更新する以外に選択肢がありませんでした。ゲームが汚れました。詐欺師は、かなりの数の人々の携帯電話番号を不法に移植するのを手伝ったキャリア従業員に賄briを贈り始めました。腐敗した労働者たちも協力のためにかなりの現金を手に入れました。被害者1人あたり80ドルから100ドルの間です。
SIMスワップは何に使用されますか?
法執行機関はSIMの交換を真剣に考えており、機関はこの手法を使用している多くの人々をだまし取った犯罪者のグループを追跡しています。先月、彼らは約40人の携帯電話番号をハイジャックしたとされる20歳のJoel Ortizを逮捕しました。 8月17日に、19歳のXzavier Narvaezが、大規模なSIMスワッピング操作に関して質問を受けました。基本的に、他の誰かの電話番号を手に入れるティーンエイジャーがいます。残念ながら、結果はいくつかのいたずら電話よりもはるかに深刻です。
しばらく前に、Googleのようなオンラインサービスプロバイダーでは、アカウントに電話番号を追加できるようになりました。意味のない追跡やデータ収集ではありません. プロフィールにアクセスできなくなった場合、Googleはテキストメッセージまたは指定した番号への電話であなたを確認できるようにするという考え方です。同じ正確なアカウント復旧メカニズムが、SIMスワッパーによって悪用されています。
電話番号をハイジャックすると、詐欺師は被害者を遮断する前に、更新されたSIMカードに関するテキスト通知を送信するため、迅速に行動する必要があります。報告によると、SIMスワッパーはハイジャックされた番号を使用して被害者の電子メールにアクセスし、他のオンラインアカウントのパスワードをリセットしようとします。彼らはかなり速く動き、反応する時間をほとんど残さない。詐欺師は被害者のテキストと電話をすべて取得するため、多くの場合、2要素認証はバイパスされます。
ただし、SIMスワッパーはだれにもターゲットを絞っていません。マザーボードの調査では、「@ Rainbow」のような興味深いハンドルを使用して盗まれたInstagramアカウントが数百ドル、場合によっては数千ドルで売買される賑やかなオンライン市場について報告されました。
Instagramと言えば、前述のXzavier Narvaezは、19歳の人なら誰でもできることをしました。画像共有プラットフォームを使用して、彼の新しいスーパーカーがどれほど高価かを世界に示しました。法執行官は、彼がSIMを盗んだビットコインでそれを買ったのではないかと疑っています。SIMは少数の有名な暗号通貨トレーダーの電話番号を交換しました。 4月、Michael Terpinという名前のトレーダーがAT&Tに対して訴訟を起こし 、キャリアの貧弱なセキュリティ慣行のために、2000万ドル以上の暗号通貨のコストがかかるSIMスワッピング攻撃の犠牲になったと主張しています。
詐欺師たちはSIMスワッピングに恋をしていますが、それは言うまでもありませんが、驚くことではありません。必要なスキルと潜在的なゲインの比率は彼らにとって素晴らしいものであり、モバイルサービスプロバイダーが攻撃を阻止するのに十分なことをしていないことは明白です。これがすぐに変わることを期待しています。