由Stuart Neal,身份的总经理公司
移动银行业务已成为智能手机实践,就像拨打数字一样普遍。根据内部情报的移动银行竞争边缘研究,我们有89%的调查受访者表示他们使用移动银行业务,这一数字上升到千禧一代的97%。
财务和银行应用程序提供了一种便利,可以推动其受欢迎程度。但是便利带有一个陷阱:欺诈的风险 - 特别是,通过所谓的“模拟交换”进行的欺诈
简而言之,SIM卡交换欺诈(有时称为“ SIM Spripting”或“ Sim Sakeing”)是一种骗局,涉及欺诈者通过在未发现未发现的情况下移植或更换SIM卡来控制他人的电话。然后,此新的SIM卡对骗子控制受害者的号码,并完全访问与该号码相关的帐户。
这是一个增加的犯罪:Feedzai报告说,过去一年的帐户收购事件增加了600%。欧洲刑警组织在2021年2月逮捕了一组十个Sim劫机者,他们共同偷走了超过1亿美元,以名人和其他高价值个人为目标。
听起来很令人不安,确实存在反击并保持用户,手机和帐户更安全的技术。请继续阅读,因为我们准确地解释了SIM卡交换欺诈,如何发生以及如何预防它。
受害者分析
虽然SIM卡交换黑客可以在片刻的情况下耗尽帐户,而不会注意到用户,但整个端到端过程需要更长的时间。
欺诈者首先建立了预期受害者的个人资料,收集了个人识别信息(PII)以促进犯罪的关键部分。这些细节可以在许多地方找到;从黑暗网络上其他罪犯编制的数据库到社交媒体,或者通过社交工程和网络钓鱼骗局提取信息。
目的是收集所有可用信息,或欺骗个人共享更多信息,以构建攻击者可以令人信服地采用的个人资料。这是劳动密集型的工作,因此经过精心计划,可以仔细地找到具有储蓄和投资的高净值目标。加密投资者是一个特殊的目标,因为很难跟踪这些资金的去向,并且在不引起怀疑的情况下更容易花费。
执行SIM交换
构建个人资料后,欺诈者将继续进行交换本身。最常见的情况涉及骗子在社会上工程客户服务代表将受害者的电话号码转移到黑客拥有的另一张SIM卡上。
为此,交换机将首先致电移动操作员,以解释为什么数字需要移动的原因 - 看似合理的原因,例如手机丢失或损坏,无法修复。
一旦手机末尾的移动运营商的代表说服了,黑客将使用受害者配置文件中的信息来引导任何安全问题。许多网络不会将物理模拟人士发送到其他地址,而是愿意将数字转移到预先购买的SIM上,在这种情况下,这是欺诈者手中的,这一举动使他们能够更快地完成骗局。
随着电话号码已转移到新的SIM卡,受害者的手机被停用了。欺诈者现在可以完全控制毫无戒心的受害者的电话号码,并可以开始访问与之相关的个人帐户。
有了我们从银行到电子邮件的许多帐户,当请求更改密码时,受到一次性密码(OTP)的保护,它是现在控制数字的人的轻型工作,因为这些代码直接出现在它们。
而且,他们可以访问移动银行或电子邮件登录屏幕另一侧的敏感信息的时间越长,黑客可能会造成的破坏就越多。
没有信号
如果SIM卡交换很快并且远离您的位置,受害者如何知道他们已经被骗了?受害者的最清晰的信号是,他们的电话突然失去信号并停止工作。
他们可能会被通知他们的新SIM卡已被激活或发送了其承运人的通知,以确认最近的帐户更改 - 尽管受害者将无法登录其帐户,而且总的来说,损害已经造成。
我们如何反击SIM交换欺诈?
这是一个可怕的想法,失去了您的网络连接并访问您自己的帐户。但是有希望。该技术的存在是为了阻止这种欺诈行为的根源,但是它要求公司在监视数字转移的情况中发挥更为积极的作用。
例如,尽管人们通常确实需要移动他们的电话号码(电话事故或切换到新提供商),但银行和移动网络运营商可以使用语音识别等技术来确认索赔是真实的。
在后台也可以做更多的事情。无声验证技术可以使银行在任何登录时使用移动网络确认用户的身份,并实时检测SIMS交换。当直接连接到移动网络运营商本身时,该技术可以访问防止登录的确定数据,或者如果检测到SIMS交换事件,则需要进行其他验证。
无钉,无钉的用户身份验证意味着对最终用户的任何额外努力进行了SIM卡检查,同时挫败可能的SIM卡交换机。而且这也有效。与SMS OTP相比,下一代多因素身份验证技术在停止身份验证欺诈方面的有效性高96%。
关于作者
斯图尔特·尼尔(Stuart Neal)是身份的总经理公司他于2011年从巴克莱卡(Barclaycard)加入了该公司,在那里他负责将其商家收购部门发展,这是欧洲第二大的部门。他是欧洲支付市场的杰出人物,在部署创新的支付解决方案方面具有特定的专业知识,例如在英国的NFC功能中推出。
免责声明:生物识别更新行业见解已提交内容。这篇文章中表达的观点是作者的观点,不一定反映生物识别更新的观点。
