Los senadores prod FCC para actuar en el intercambio de SIM – Krebs on Safety


Los delincuentes han robado decenas de millones de dólares y otros productos valiosos de miles de consumidores a través del «intercambio de SIM», una forma particularmente invasiva de fraude que implica engañar al operador de telefonía móvil de un objetivo para que transfiera el servicio inalámbrico de alguien a un dispositivo que controlan. Pero el Comisión Federal de Comunicaciones de EE. UU. (FCC), la entidad responsable de supervisar las prácticas de la industria inalámbrica, hasta ahora ha permanecido en gran medida en silencio sobre el asunto. Ahora, un grupo de legisladores del Senado exige saber qué, si acaso, la agencia podría estar haciendo para rastrear y combatir el intercambio de SIM.

El jueves, media docena de demócratas en el Senado enviaron una carta a Presidente de la FCC Ajit Pai, pidiendo a la agencia que exija a los operadores que ofrezcan más protecciones para los consumidores contra los intercambios de SIM no autorizados.

«Los consumidores no tienen más remedio que confiar en las compañías telefónicas para protegerlos contra los intercambios de SIM, y deben poder contar con la FCC para responsabilizar a los operadores móviles cuando no aseguran sus sistemas y, por lo tanto, perjudican a los consumidores», dice. la carta, Firmado por Sens. Ron Wyden (O), Ted Lieu (CALIFORNIA), Sherrod Brown (OH), Anna Eshoo (CALIFORNIA), Edward Markey (MA) y Yvette Clarke (NUEVA YORK).

El intercambio de SIM es una forma insidiosa de fraude de teléfonos móviles que a menudo se usa para robar grandes cantidades de criptomonedas y otros artículos de valor de las víctimas. Con demasiada frecuencia, la estafa implica sobornar o engañar a los empleados en las tiendas de teléfonos móviles para que tomen el command del número de teléfono del objetivo y desvíen todos los mensajes de texto y llamadas telefónicas al dispositivo móvil del atacante.

Una vez que controla el número de teléfono robado, el atacante puede restablecer la contraseña de cualquier cuenta en línea que permita restablecimientos de contraseña y / o solicitudes de verificación de dos factores a través de mensajes de texto o llamadas telefónicas automáticas (es decir, la mayoría de los servicios en línea, incluidos muchos de los dispositivos móviles sitios world wide web de operadores).

A partir de ahí, los estafadores pueden girar en una variedad de direcciones, que incluyen: Saquear las cuentas financieras de la víctima piratear sus identidades en las plataformas de redes sociales ver el correo electrónico y el historial de llamadas de la víctima y abusar de ese acceso para hostigar y estafar a sus amigos y familiares.

Los legisladores le pidieron a la FCC que divulgue si realiza un seguimiento de las quejas de los consumidores sobre el intercambio fraudulento de SIM y los «port-outs» de números, que implican mover el número de teléfono de la víctima a otro proveedor. Los senadores exigieron saber si la comisión ofrece ninguna orientación para consumidores o transportistas sobre este importante tema, y ​​si la FCC ha iniciado alguna investigación o tomado medidas de cumplimiento contra los transportistas que no lograron asegurar las cuentas de los clientes.

La carta también requiere que la FCC responda si hay algo en las regulaciones federales que impida a los operadores de telefonía móvil compartir con los bancos información sobre la fecha de intercambio de SIM más reciente de un cliente como una forma de marcar intentos de inicio de sesión potencialmente sospechosos, un método ya utilizado por instituciones financieras en otros países, incluidos Australia, el Reino Unido y varias naciones de África.

«Algunos operadores, tanto en los EE. UU. Como en el extranjero, han adoptado políticas que protegen mejor a los consumidores de los intercambios de SIM, como permitir que los clientes agreguen protecciones de seguridad opcionales a su cuenta que eviten los intercambios de SIM a menos que el cliente visite una tienda y muestre una identificación». La carta continúa. «Desafortunadamente, la implementación de estas medidas de seguridad adicionales por parte de los proveedores de servicios inalámbricos en los Estados Unidos todavía es irregular y es probable que los consumidores no se enteren de la disponibilidad de estas características de seguridad oscuras y opcionales hasta que sea demasiado tarde».

La FCC no respondió de inmediato a las solicitudes de comentarios.

INNOVACIONES DE SIM SWAP (CRIM)

Los intercambios legítimos de SIM son una solicitud común para todos los operadores, y generalmente ocurren cuando un cliente ha perdido su teléfono móvil o cuando necesitan actualizar a un modelo más nuevo que requiere una tarjeta SIM de diferente tamaño (el chip inteligente pequeño y extraíble que se conecta el dispositivo del cliente a su número de teléfono).

Pero los intercambios de SIM no autorizados permiten que incluso los ladrones poco calificados cambien rápidamente la vida de una víctima y controlen gran parte de sus identidades y finanzas en línea. Además, las opciones de seguridad disponibles para los clientes inalámbricos preocupados por el intercambio de SIM, como los códigos de número de identificación personalized (PIN), son en gran medida ineficaces contra empleados corruptos o despistados de la tienda de teléfonos móviles.

Un intercambio exitoso de SIM puede permitir que los torturadores accedan a la bandeja de entrada de correo electrónico de la víctima incluso después de que el objetivo haya cambiado su contraseña. Por ejemplo, algunos servicios de correo electrónico permiten a los clientes restablecer sus contraseñas simplemente al proporcionar una información que probablemente solo sea conocida por el titular legítimo de la cuenta, como el mes y el año en que se creó la cuenta, o el nombre de una carpeta personalizada o etiqueta en la cuenta creada previamente por el usuario.

Una técnica utilizada por los intercambiadores de SIM para recuperar el acceso a las bandejas de entrada pirateadas es anotar esta información una vez que un intercambio de SIM les permita restablecer la contraseña de la cuenta. Alternativamente, se sabe que los intercambiadores de SIM crean sus propias carpetas o etiquetas en la cuenta pirateada para facilitar el acceso a la puerta trasera más adelante.

Recientemente, varios hombres jóvenes han sido acusados ​​penalmente de usar el intercambio de SIM para robar cuentas y criptomonedas como Bitcoin de las víctimas. Esta semana, un tribunal de Nueva York desveló una acusación del gran jurado contra un presunto intercambiador de SIM en serie de 22 años. Nicholas Truglia, quien está acusado de usar la técnica para extraer $ 24 millones en criptomonedas de un inversor de blockchain Michael Terpin.

Pero los expertos dicen que los pocos arrestos que se han realizado en conjunto con los ataques de intercambio de SIM han llevado a muchos involucrados en este crimen a solicitar la ayuda de los conspiradores que son menores y, por lo tanto, están fuera del alcance de los fiscales federales.

Por su parte, Terpin. envió una carta abierta a los comisionados de la FCC en octubre de 2019, instándolos a exigir que los proveedores de servicios inalámbricos proporcionen una forma para que los clientes realmente bloqueen sus cuentas contra el intercambio de SIM, incluso si eso significa una visita en persona a una tienda o una conversación con el departamento de fraude del proveedor.

En una entrevista con KrebsOnSecurity, Terpin dijo que la FCC hasta ahora ha abdicado de su responsabilidad sobre los transportistas en este asunto.

«Les llevó mucho tiempo tomarse en serio las llamadas automáticas, pero esas estafas rara vez cuestan a las personas millones de dólares», dijo Terpin. “Imagine que va a un banco y no recuerda su PIN y el cajero dice: &#39Oh, está bien, puedo buscarlo&#39. El hecho de que un empleado de una tienda móvil de $ 9 por hora pueda ver su alta seguridad contraseña o PIN es impactante «.

«Los transportistas también deberían informar a cada cliente actual y futuro que existe esta opción de alta seguridad», continuó Terpin. «Eso detendría gran parte de este fraude y eliminaría la capacidad de estos empleados de la tienda de 19 años que no se benefician y que son sobornados para ayudar con la estafa».

¿Quieres leer más sobre el intercambio de SIM? Echa un vistazo a Busting SIM Swappers y SIM Swap Myths, o mira el catálogo completo de historias sobre el tema aquí.


Etiquetas: Ajit Pai, Anna Eshoo, Edward Markey, FCC, Michael Terpin, Nicholas Truglia, Ron Wyden, Sherrod Brown, intercambio de SIM, Ted Lieu, Comisión Federal de Comunicaciones de EE. UU., Yvette Clarke

Esta entrada se publicó el jueves 9 de enero de 2020 a las 2:44 p.m. y se archiva en el intercambio de SIM.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique