黑客通过SIM卡窃取凭证，一个月发生17次，运营商说出秘密

大约一年前，Andr被其所在的电话运营公司邀请参加一项会议当首席技术官，这是莫桑比克最大的电话运营商， 以及该国最大银行的执行官之间的会议。因为SIM交换攻击的欺诈模式不断升级，其中黑客欺骗或贿赂电话公司员工切换与受害者电话号码相关联的SIM卡。然后攻击者使用该被劫持的号码来接管银行或其他在线账户。根据数据显示，该银行每月发生超过17次SIM交换欺诈，事情越来越严重。

SIM交换黑客依赖于在窃取受害者的银行凭证后截取通过文本发送的一次性密码，或者使用电话号码作为密码重置后备。因此，电话运营公司提供了一个简单的解决方案：运营商将建立一个系统，让银行在进行汇款之前查询与银行账户相关的最近SIM卡掉期的电话记录。如果在最近两三天内发生SIM交换，则转账将被阻止。因为SIM卡交换的受害者通常可以在几分钟内看到他们的手机被禁用，所以这个时间内他们可以在欺诈者到手之前报警处理。

到近日莫桑比克最大的银行正在与所有主要运营商进行SIM交换检查。莫桑比克计算机应急准备小组表示，“它在一夜之间将SIM卡交换欺诈行为减少到接近零”，莫桑比克并不是唯一一个针对SIM交换欺诈日益流行的解决方案，后者越来越多地用于从劫持Ins账户到窃取加密货币等各方面。根据银行和电信行业的安全公司和高管的采访，非洲国家的公司，包括尼日利亚，南非和肯尼亚 - 其中移动支付的流行使SIM交换成为一个特别严重的威胁 ，但是已经采取了运营商检查补救措施到位。英国和澳大利亚也是如此。

打开UC浏览器 查看更多精彩图片

交换会面

一些安全公司和银行业高管指出美国运营商是主要障碍。他们根本没有为其他国家银行实施的安全检查提供实时SIM交换数据。事实上，安全公司已经试图向美国银行提供SIM交换欺诈检查，但发现大多数美国电话公司还不愿意与它们合作。

“长话短说，大多数美国运营商都无法提供这些数据，目前为止，只有一家美国电话运营商提供了实时SIM交换数据，但拒绝透露具体数据。

这也导致很难知道银行或其他潜在的SIM交换攻击目标可能会对运营商私下削减什么。这些利益相关者对他们的解决方案一直守口如瓶，部分原因是为了避免提供任何可能有助于欺诈者规避其安全措施的线索。

美国七大银行共同拥有一家名为预警的安全公司，其致力于为银行提供可帮助他们防止欺诈的数据。早期警告的“认证传播者”表示，运营商实际上向早期预警及其所有者提供了一些数据，但他拒绝透露具体是什么。

当联系到美国四大运营商时，他们都拒绝回复记录或向电信行业协会CITA提出问题。网络安全副总裁认为：虽然美国运营商可能不提供实时SIM交换检查，但这是因为还有其他保护措施，例如基于银行安装在智能手机上的移动应用程序的地理位置检查，以及因素认证。

“安全使用多个层和工具来降低风险;你不能只专注于一个工具，必须使用所有可用的工具“但这些运营商与许多大品牌合作，确实密切合作，以确保他们保持领先于坏人，以保护消费者免受欺诈。”

由于规模的困难，运营商无法共享实时SIM交换数据。美国银行处理太多用户执行过多交易，无法根据运营商数据进行检查。隐私也是一个问题。如果没有明确的选择同意，运营商会谨慎地提供有关用户的任何第三方实时数据。

然而，一位要求不透露姓名的银行业高管对情况的描述不同。他驳回了隐私解释，转而指出了一个财务问题：目前还没有足够的美国银行要求实时的SIM交换数据来激励运营商出售它。“运营商没有商业模式来开发支持这种系统的系统，”“人们不愿意为制造这个系统付出代价，如果有人愿意为此付钱，电话运营商愿意将你的数据出售给任何人。”

至于他的观点，只看运营商目前的丑闻，将消费者的位置数据卖给赏金猎人。从历史上看，运营商对选择同意并未表现出太多担忧。

帮助解决莫桑比克SIM交换欺诈问题的主人公补充说：可以在没有隐私妥协的情况下实施修复。他的运营商只是设置了一个API，响应银行对SIM交换数据的查询，同时不提供其他信息““我们认为隐私风险很小。”

强制修复

当然，还有其他方法可以阻止SIM卡交换欺诈：通常，科技公司，加密货币公司和银行不应该依赖电话号码的安全性。这意味着避免任何基于它们的密码重置回退，并通过应用程序或硬件令牌而不是短信使用双因素身份验证，正如安全专家多年来所建议的那样。

“我自己是一名从事了多年开发的C++老程序员，辞职目前在做自己的C++私人定制课程，今年年初我花了一个月整理了一份最适合2019年学习的C++学习干货，从最基础的到各种项目都有整理，送给每一位C++小伙伴，想要获取的可以关注我的头条号并在后台私信我：编程，即可免费获取。