Então você acha que é muito experiente em segurança. Você usa senhas complexas para todas as suas contas on-line e usa a Autenticação de Dois Fatores via smartphone para obter uma camada extra de proteção quando se trata de serviços bancários on-line. Você sabe que isso significa que ninguém pode acessar suas contas bancárias sem ter acesso físico ao seu telefone, mesmo que elas tenham o seu nome de usuário e senha.

Depois, você acessa sua conta um dia e descobre que alguém roubou milhares de libras de você e seu banco se recusa a acreditar em você, pois a transação foi feita quando você estava conectado à sua conta. E deve ter sido você, porque eles enviaram um código de acesso exclusivo para o seu telefone que foi usado para fazer login.

Você pode pensar que a remoção de um crime como esse foi obra de hackers superinteligentes, ou mesmo de um trabalho interno. Então você descobre que todos os criminosos precisavam fazer isso para ligar para seu provedor de telefonia móvel..

Isto é conhecido como SIM Swap Fraud, e é surpreendentemente fácil de realizar. Quando é bem-sucedida, as vítimas podem descobrir que toda a sua poupança na vida foi roubada, com poucos recursos. Com os smartphones se tornando uma ferramenta essencial para proteger suas transações bancárias on-line, é um pensamento assustador que um criminoso cibernético possa assumir o controle do seu telefone com bastante facilidade, graças às práticas de segurança seriamente negligentes de algumas operadoras de telefonia móvel..

Como funciona uma troca de SIM

Criminosos cibernéticos escaneiam a internet em busca de detalhes sobre você - você provavelmente postou seu nome completo, endereço, data de nascimento, endereço de e-mail e detalhes dos principais membros da família nas redes sociais em algum momento. Um perfil aberto no Facebook pode dar a um atacante pistas sobre o seu nível de riqueza (você já fez o upload dessas fotos daquele feriado de vela no Caribe?) E provavelmente postou seu cargo e quem trabalha no LinkedIn. Estes dão aos atacantes pistas vitais que podem ser usadas em uma fraude de troca de SIM contra você. E uma vez que eles conseguiram descobrir a combinação de nome de usuário e senha que você usa para serviços bancários on-line - porque você se apaixonou por um e-mail de phishing, ou os obteve de um despejo de dados da violação de segurança de um site em que você usou a mesma combinação de nome de usuário e senha - eles estão no meio do caminho para casa. Tudo o que eles precisam fazer agora é ligar para sua operadora de celular.

Eles ligam e respondem a um conjunto de perguntas de segurança bastante fáceis - muitas das quais terão obtido durante a pesquisa - e pedem um novo cartão SIM para substituir o existente. Eles podem usar praticamente qualquer motivo para a troca de SIM, como você perdeu seu telefone, danificou seu cartão SIM existente ou está atualizando para um dispositivo diferente. Agora, você suporia que todas as operadoras de telefonia móvel tornariam um pré-requisito para que os SIMs recém-pedidos fossem enviados apenas para o endereço do titular da conta, mas durante a pesquisa deste artigo descobri que alguns operadores enviarão o cartão SIM para qualquer endereço solicitado pelo chamador. Sim, você leu corretamente. Qualquer endereço ...

Eles nem precisam se incomodar em ligar para um call center em alguns casos. Eles podem simplesmente andar descaradamente em qualquer filial da sua operadora de telefonia móvel, armados com todas as informações que eles têm sobre você, e simplesmente pedir uma substituição do SIM..

Impacto dos esquemas de swap do SIM

Criminosos em todo o país consequentemente roubaram milhares de libras das contas bancárias das pessoas usando o golpe de swap do SIM, e o nível de segurança usado pelas operadoras de telefonia móvel é preocupantemente baixo. Richard de Vere, do The AntiSocial Engineer, relatou uma vítima que perdeu 35.000 libras em uma fraude do SIM Swap, quando um criminoso cibernético transferiu o dinheiro de sua conta para um banco na Eslováquia. Conseguiu obter uma transcrição da conversa entre o criminoso e o call center da Vodafone e, surpreendentemente, o responsável pela chamada prosseguiu com a solicitação, embora o chamador não pudesse fornecer senhas de conta, palavras memoráveis, contatos no telefone, o débito direto mensal era para a conta, ou até mesmo a data de nascimento da vítima.

Mencionei que estava escrevendo este artigo para uma amiga e ela imediatamente ligou para a operadora de celular para alterar a única pergunta memorável que a operadora usava para permitir o acesso à sua conta pelo telefone - o nome de solteira de sua mãe. Para um invasor, isso teria sido fácil de deduzir, dadas as extensas conversas no Facebook e no Twitter que ela tem com a família. Quando ela ligou, no entanto, o agente nem entendeu por que ela precisava mudar sua pergunta de segurança em primeiro lugar. Isso realmente demonstra que algumas operadoras de telefonia móvel não estão educando sua equipe de call center sobre os riscos de fraude para seus clientes.

Os bancos investiram pesadamente em medidas de segurança inovadoras para ajudar a proteger os serviços bancários online. É no interesse deles, afinal, como eles correm o risco de não apenas perdas financeiras, mas também penalidades da Autoridade de Conduta Financeira, se sua segurança for considerada deficiente. Como parte desses esforços, muitos bancos implementaram com sucesso processos de autenticação de duas etapas usando telefones celulares. No entanto, muito poucos bancos atualmente são capazes de detectar a fraude de troca do SIM conforme ocorre.

Bancos contra-atacam

A tecnologia está alcançando - First Direct, por exemplo, respondeu à ameaça implementando um programa de ID de voz. Isso funciona verificando a velocidade, a cadência e a pronúncia de uma voz e a compara a uma amostra de voz conhecida do cliente original. Ele até mede aspectos físicos, como a forma da laringe, do trato vocal e da passagem nasal para combinar com o chamador em sua conta. Desde que foi introduzido First Direct estimaram que o sistema impediu mais de 1.600 tentativas de fraudes. Tem sido tão bem sucedido que a tecnologia foi adotada pela empresa-mãe HSBC, e o Barclays também introduziu um esquema similar.

Mas por que toda a responsabilidade está caindo nos bancos? Por que é tão fácil para um fraudador obter um SIM trocado em primeiro lugar? Por que as próprias operadoras de telefonia móvel não estão investindo em tecnologia de reconhecimento de voz para evitar fraudes? É simplesmente porque eles quase não enfrentam sanções ou penalidades financeiras de fraude de troca SIM, ao contrário dos bancos? Certamente, a Ofcom, em conjunto com o Gabinete do Comissário de Informação, deveria insistir em controles de segurança mais rigorosos dentro dessas empresas..

A falta de progresso dentro dessas empresas é surpreendente. Agora, todos devem estar ativamente reforçando processos e diretrizes sobre como detectar atividades potencialmente fraudulentas. Eles devem treinar a equipe de call center, on-line e no local, reconhecendo melhor os sinais de atividade potencialmente fraudulenta, como quando alguém pode estar se passando por um cliente. Eles devem enviar apenas SIMs para o endereço do titular da conta registrada. Eles deveriam estar investindo em melhor tecnologia de segurança e parando de confiar em questões de 'segurança' que podem ser facilmente respondidas por um fraudador que escaneia uma página no Facebook. Eles devem usar melhor os dados sobre o tipo de dispositivo, a localização e o comportamento do consumidor dos clientes para identificar proativamente possíveis ameaças. Por que eles são aparentemente incapazes de alcançar essas medidas??

Papel dos operadores móveis

Em vez de deixar o setor bancário para fazer todo o trabalho pesado na guerra contra o crime cibernético, as operadoras de telefonia móvel devem intensificar seu jogo e desempenhar seu papel para combater o crime baseado em telefones celulares. Eles devem trabalhar em conjunto com os bancos, a Agência Nacional de Crimes, o Centro Nacional de Segurança Cibernética, Ofcom e a OIC para mitigar os riscos. Eles não devem ter medo do GDPR e compartilhar os dados adequadamente - afinal, não é do melhor interesse de seus clientes fazer tudo o que podem para evitar fraudes? Apenas disponibilizar dados históricos de clientes para pesquisa por soluções de prevenção de fraudes de um banco, por exemplo, faria uma enorme diferença.

Se você é uma vítima de fraude de troca de SIM, não o deixe deitado. Exercite seus direitos sob o GDPR para obter dados de sua operadora de telefonia móvel enviando-lhes uma Solicitação de Acesso ao Assunto para descobrir o que eles sabem sobre o incidente - eles geralmente terão mais informações do que o permitido. Não aceite seu banco tentando não reembolsá-lo - entre em contato com o Conselho do Cidadão e reclame à FCA se precisar.

Todos nós temos um papel a desempenhar no combate ao crime cibernético - e nenhuma organização ou indústria deve ter permissão para enterrar a cabeça na areia e fingir que não tem nada a ver com eles. Até lá, sugiro conversar com sua operadora de telefonia móvel e exigir que, no mínimo, eles alterem as perguntas de segurança que eles lhe pedem para aqueles que são mais complicados para um fraudador, e exijam que qualquer novo cartão SIM seja enviado apenas para o seu endereço residencial. Essas medidas não são perfeitas, mas as operadoras de telefonia móvel devem fazer mais para proteger seus clientes contra fraudes..

Vince Warrington, fundador da Inteligência Protetora

  • Também destacamos o melhor antivírus