La propuesta de la FCC se enfoca en el intercambio de SIM y el fraude de transferencia: Krebs on Security


los Comisión Federal de Comunicaciones de EE. UU. (FCC) está solicitando comentarios sobre las nuevas reglas propuestas para tomar medidas enérgicas contra el intercambio de SIM y el fraude de transferencia de números, estafas cada vez más frecuentes en las que los ladrones de identidad secuestran el número de teléfono móvil de un objetivo y lo usan para arrebatar el manage sobre la identidad en línea de la víctima.

En un largo tiempo aviso emitido el 30 de septiembre, la FCC dijo que planea avanzar rápidamente para exigir a las empresas móviles que adopten métodos más seguros para autenticar a los clientes antes de redirigir su número de teléfono a un nuevo dispositivo o proveedor.

“Hemos recibido numerosas quejas de consumidores que han sufrido angustias, inconvenientes y daños económicos importantes como resultado del fraude de intercambio y transferencia de SIM”, escribió la FCC. «Debido a los graves daños asociados con el fraude de intercambio de SIM, creemos que una implementación rápida es apropiada».

La FCC dijo que la propuesta fue en respuesta a una avalancha de quejas a la agencia y al Comisión Federal de Comercio de EE. UU. (FTC) sobre el intercambio fraudulento de SIM y el fraude de transferencia de números. El intercambio de SIM ocurre cuando los estafadores engañan o sobornan a un empleado en una tienda de teléfonos móviles para que transfiera el regulate del número de teléfono de un objetivo a un dispositivo que controlan.

A partir de ahí, los atacantes pueden restablecer la contraseña de casi cualquier cuenta en línea vinculada a ese número de teléfono móvil, porque la mayoría de los servicios en línea aún permiten a las personas restablecer sus contraseñas simplemente haciendo clic en un enlace enviado por SMS al número de teléfono registrado.

Los estafadores cometen fraude de transferencia de números al hacerse pasar por el objetivo y solicitar que su número se transfiera a un proveedor de telefonía móvil diferente (y a un dispositivo que controlan los atacantes).

La FCC dijo que los operadores tradicionalmente han tratado de abordar ambas formas de fraude de números de teléfono al requerir datos estáticos sobre el cliente que ya no son secretos y que ya han sido expuestos en una variedad de lugares, como la fecha de nacimiento y el número de seguro social. A modo de ejemplo, la comisión señaló la reciente brecha en T-Mobile que expuso estos datos sobre 40 millones de clientes actuales, pasados ​​y potenciales.

Además, las víctimas del fraude de intercambio de SIM y transferencia de números son a menudo las últimas en enterarse de su victimización. La FCC dijo que planea prohibir que los operadores inalámbricos permitan un intercambio de SIM a menos que el operador utilice un método seguro para autenticar a su cliente. Específicamente, la comisión propone que se solicite a los operadores que verifiquen una “contraseña preestablecida” con los clientes antes de realizar cambios en sus cuentas.

Según la FCC, varios ejemplos de contraseñas preestablecidas incluyen:

-un código de acceso de un solo uso enviado por mensaje de texto al número de teléfono de la cuenta o un número de respaldo registrado previamente
-un código de acceso de un solo uso enviado por correo electrónico a la dirección de correo electrónico asociada con la cuenta
-un código de acceso enviado mediante una llamada de voz al número de teléfono de la cuenta o al número de teléfono de respaldo registrado previamente.

La comisión dijo que también estaba considerando actualizar sus reglas para exigir a los operadores inalámbricos que desarrollen procedimientos para responder a los intentos fallidos de autenticación y notificar a los clientes de inmediato sobre cualquier solicitud de cambios de SIM.

Además, la FCC dijo que puede imponer requisitos adicionales de servicio al cliente, capacitación y transparencia para los operadores, y señaló que demasiado own de servicio al cliente en los operadores inalámbricos carece de capacitación sobre cómo ayudar a los clientes a quienes les han robado sus números de teléfono.

La FCC dijo que algunas de las quejas de los consumidores que ha recibido «describen a los representantes de servicio al cliente de los operadores inalámbricos y a los empleados de la tienda que no saben cómo abordar los casos de intercambios o transferencias de SIM fraudulentos, lo que hace que los clientes pasen muchas horas en el teléfono y en tiendas minoristas». tiendas que intentan obtener una resolución. Otros consumidores se quejan de que sus proveedores de servicios inalámbricos se han negado a proporcionarles documentación relacionada con los intercambios de SIM fraudulentos, lo que les dificulta presentar reclamaciones ante sus instituciones financieras o las fuerzas del orden «.

“Varias quejas de consumidores presentadas ante la Comisión alegan que los empleados de la tienda del operador inalámbrico están involucrados en el fraude, o que los operadores completaron intercambios de SIM a pesar de que el cliente había establecido previamente un PIN o contraseña en la cuenta”, continuó la comisión.

Allison Nixon, experta en ataques de intercambio de SIM, directora de investigación de la empresa de inteligencia cibernética con sede en la ciudad de Nueva York Unidad221B, dijo que cualquier nuevo requisito de autenticación tendrá que equilibrar los casos de uso legítimos para los clientes que solicitan una nueva tarjeta SIM cuando su dispositivo se pierde o es robado. Una tarjeta SIM es la pequeña tarjeta inteligente extraíble que asocia un dispositivo móvil a su operador y número de teléfono.

«En última instancia, cualquier tipo de defensa estática solo funcionará a corto plazo», dijo Nixon. “El uso de SMS como segundo component en sí mismo es una defensa estática. Y los criminales se adaptaron e hicieron que el problema fuera peor que el problema initial para el que fue diseñado. La solución a largo plazo es que el sistema debe responder a nuevos esquemas de fraude y adaptarse más rápido que la velocidad de la legislación ”.

¿Deseoso de opinar sobre la propuesta de la FCC? Ellos quieren saber de usted. El sistema de archivo electrónico de comentarios es aquí, y el número de expediente para este procedimiento es WC Docket No. 21-341.



Enlace a la noticia primary