SIM卡交換詐騙事件回顧

2018年7月12日，美國的加利福尼亞警方逮捕了一名大學(xué)生——Joel Ortiz，該學(xué)生攻擊了數(shù)十個(gè)手機(jī)號碼，竊取了總額超過500萬美元的加密貨幣。這是首例被報(bào)道的人為涉嫌使用日益流行的SIM卡交換技術(shù)或SIM卡劫持竊取比特幣、其他加密貨幣以及社交媒體賬戶的案件。Ortiz和他的同伙專門針對那些涉足加密貨幣和區(qū)塊鏈的人。

[[262877]]

緊接著，2018年8月15日，美國投資者M(jìn)ichael Terpin向AT&T提起了一起價(jià)值高達(dá)2.24億美元的訴訟。因?yàn)樗J(rèn)為這家電信巨頭向黑客提供了訪問他手機(jī)號碼的途徑，從而導(dǎo)致了一場重大的加密貨幣盜竊事件的發(fā)生。Michael Terpin是一位總部位于波多黎各的企業(yè)家，他也是TransformGroup inc .的首席執(zhí)行官，同時(shí)他還是BitAngels（面向比特幣投資人的天使團(tuán)隊(duì)）和數(shù)字貨幣基金B(yǎng)itAngels DApps Fund的聯(lián)合創(chuàng)始人。Terpin聲稱他在7個(gè)月的時(shí)間里遭遇了兩次黑客攻擊，這直接導(dǎo)致他損失了價(jià)值2400萬美元的加密貨幣：他向加州律師事務(wù)所Greenberg Glusker提交的長達(dá)69頁的起訴書中提到了兩起分別發(fā)生在2017年6月11日和2018年1月7日的黑客攻擊案件。根據(jù)該文件顯示，兩次黑客攻擊中AT&T都未能保護(hù)他的的數(shù)字身份。

SIM卡交換詐騙：電信供應(yīng)商與金融賬戶之間的關(guān)系？

所謂的SIM卡交換技術(shù)，就是通過欺騙電信提供商，將目標(biāo)手機(jī)號碼轉(zhuǎn)移到犯罪分子控制的SIM卡上。一旦犯罪分子控制了目標(biāo)的手機(jī)號碼，犯罪分子就可以利用它來重置受害者的密碼并登錄他們的在線帳戶（加密貨幣帳戶和金融賬戶是最常見的目標(biāo)）。簡單來說，“SIM 卡交換”是一種復(fù)雜的社會工程學(xué)攻擊，別有用心者會收集特定目標(biāo)的身份識別信息，以便向運(yùn)營商證明“我就是你”。所以在這種情況下，即使帳戶受雙重身份驗(yàn)證保護(hù)，這種方法仍然有效。去年的一項(xiàng)調(diào)查顯示，這種攻擊也被稱為“端口詐騙（port out scam）”，相對容易操作并且已經(jīng)非常普遍。

SIM卡交換是一個(gè)引導(dǎo)電信供應(yīng)商的過程，比如T-Mobile將被攻擊目標(biāo)的手機(jī)號碼轉(zhuǎn)移到了攻擊者所持有的SIM卡上。一旦黑客收到手機(jī)號碼，他們就可以用來重置受害者的密碼并侵入他們的賬戶，這其中就包括了加密貨幣交易所的賬戶。

目前，美國執(zhí)法部門已經(jīng)將 “SIM卡交換詐騙”作為打擊加密貨幣欺詐的“重中之重”。

根據(jù)卡巴斯基實(shí)驗(yàn)室近一年的追蹤，像這樣的攻擊現(xiàn)在很普遍，網(wǎng)絡(luò)犯罪分子利用“SIM卡交換詐騙”不僅竊取憑證并捕獲通過短信發(fā)送的OTP（一次性密碼），而且還對受害者造成財(cái)務(wù)損失。

如果有人竊取了你的手機(jī)號碼，你將面臨很多問題，特別是因?yàn)槲覀兊拇蠖鄶?shù)現(xiàn)代雙因素身份驗(yàn)證系統(tǒng)都基于可以使用此技術(shù)攔截的SMS。犯罪分子可以通過密碼重置發(fā)送到你的手機(jī)劫持你的帳戶。除了以上所說的加密貨幣和銀行賬戶劫持外，更糟糕的是，他們可以使用被劫持的號碼來攻擊你的工作電子郵件和文檔。

“SIM卡交換詐騙”對新興的移動(dòng)支付的影響

移動(dòng)支付現(xiàn)在在發(fā)展中國家很大，基于移動(dòng)手機(jī)的匯款允許用戶訪問融資和小額融資服務(wù)，并通過移動(dòng)設(shè)備輕松存取，提取和支付商品和服務(wù)。但是現(xiàn)在這些移動(dòng)支付遭受了有史以來的一波攻擊，因?yàn)樗羞@些攻擊都是由大規(guī)模進(jìn)行的SIM卡交換欺詐所驅(qū)動(dòng)的。

以巴西和莫桑比克為例，這兩個(gè)國家的SIM卡交換欺詐率很高，這兩國都講同一種語言（葡萄牙語）并面臨同樣的問題。通過使用社會工程甚至簡單的網(wǎng)絡(luò)釣魚攻擊，欺詐者控制客戶的手機(jī)號碼以接收移動(dòng)貨幣交易，或收集家庭銀行OTP以完成資金轉(zhuǎn)移或竊取用戶的錢。

在本文中，我們將詳細(xì)介紹非常有組織的網(wǎng)絡(luò)犯罪如何發(fā)展自己的欺詐生態(tài)系統(tǒng)，以及莫桑比克如何解決SIM卡交換欺詐計(jì)劃中的資金被盜問題，其中移動(dòng)支付是日常生活的重要組成部分。

網(wǎng)絡(luò)犯罪分子是如何進(jìn)行“SIM卡交換詐騙”的？

詐騙開始于欺詐者通過使用網(wǎng)絡(luò)釣魚電子郵件，通過底下黑市購買相關(guān)信息，進(jìn)而通過社會工程或在數(shù)據(jù)泄漏后獲取信息來收集有關(guān)受害者的詳細(xì)信息。一旦欺詐者獲得了必要的信息，他們就會聯(lián)系受害者使用的移動(dòng)電信運(yùn)行商。欺詐者使用社交工程技術(shù)讓電信運(yùn)行商將受害者的手機(jī)號碼移至欺詐者自己的SIM卡上，例如，冒充受害者并聲稱他們丟失了手機(jī)。他們要求在新的SIM卡上激活此號碼。

此時(shí)，受害者的手機(jī)就會失去與網(wǎng)絡(luò)的連接，且欺詐者將接收針對受害者的所有SMS和語音呼叫。這允許欺詐者攔截通過短信或致電受害者的手機(jī)發(fā)送的任何一次性密碼，并最終使用基于SMS或手機(jī)呼叫認(rèn)證的所有服務(wù)。

研究人員發(fā)現(xiàn)，移動(dòng)運(yùn)營商使用的安全保護(hù)流程很脆弱，使SIM卡交換攻擊很容易進(jìn)行。例如，在某些運(yùn)行商的流程中，為了驗(yàn)證你的身份，運(yùn)營商可能會要求客戶提供一些基本信息，例如全名，出生日期，最后一次充值憑證的金額，號碼的最后五個(gè)數(shù)，等等。但實(shí)踐中，欺詐者完全可以在社交媒體上找到這些信息或使用TrueCaller等應(yīng)用程序根據(jù)號碼獲取來電者姓名。

不過攻擊者的目標(biāo)有時(shí)是運(yùn)營商，而不是個(gè)人。當(dāng)運(yùn)營商在小城市的分支機(jī)構(gòu)工作的員工有時(shí)無法識別欺詐性或摻假的文件時(shí)，就會發(fā)生這種情況，尤其是位于報(bào)刊亭或購物中心的分支機(jī)構(gòu)，這使得欺詐者能夠激活新的SIM卡。

另外，詐騙者有時(shí)會賄賂內(nèi)部人員，每激活一張SIM卡支付10至15美元。當(dāng)欺詐者發(fā)送旨在竊取運(yùn)營商系統(tǒng)憑據(jù)的網(wǎng)絡(luò)釣魚電子郵件時(shí)，會發(fā)生最嚴(yán)重的攻擊。具有諷刺意味的是，大多數(shù)這些系統(tǒng)都不使用雙因素身份驗(yàn)證。有時(shí)，此類電子郵件的目標(biāo)是在運(yùn)營商的網(wǎng)絡(luò)上安裝惡意軟件，所有欺詐者只需要一個(gè)憑證，就能進(jìn)入運(yùn)營商的系統(tǒng)。

針對著名人或政客的SIM卡交換可能需要花費(fèi)數(shù)千美元，這些費(fèi)用在地下黑市都明碼標(biāo)價(jià)：

網(wǎng)絡(luò)犯罪分子對此類攻擊非常感興趣，其中一些人決定將其作為一項(xiàng)服務(wù)出售給其他人。通常情況下，罪犯可以在兩三個(gè)小時(shí)內(nèi)毫不費(fèi)力地實(shí)施攻擊，因?yàn)樗麄円呀?jīng)進(jìn)入了運(yùn)營商的系統(tǒng)或跟內(nèi)部腐敗人員打好了招呼。

如何知道你的手機(jī)發(fā)生了“SIM卡交換”攻擊

當(dāng)你的手機(jī)在信號很強(qiáng)的地方突然沒有信號了，且時(shí)間很長，就表示可能有威脅了。

上圖是本文的作者去年在一家巴西酒店出差時(shí)，大約有30分鐘，手機(jī)突然失去了連接功能的截圖。

經(jīng)過多番努力無果后，他嘗試重新啟動(dòng)設(shè)備并再次試圖與運(yùn)營商連接，但還是沒有成功。之后通過向運(yùn)營商的客服人員詢問，才知道有人報(bào)告此號碼“丟失或被盜”，并要求在另一張SIM卡上激活它。

對WhatsApp的攻擊目前非常猖獗

WhatsApp是許多國家中受歡迎的即時(shí)通訊工具，巴西的欺詐者使用該應(yīng)用程序在一項(xiàng)名為“WhatsApp克隆”的攻擊中實(shí)施詐騙。在SIM卡交換之后，罪犯所做的一件事就是加載WhatsApp和所有受害者的聊天記錄和聯(lián)系人。然后他們開始以受害者的名義發(fā)送消息，比如假裝被綁架情況，要求對方立即付款。

還有一些攻擊是專門針對公司高管們的，在SIM卡交換之后，聯(lián)系財(cái)務(wù)部門轉(zhuǎn)賬。

巴西的SIM卡交換攻擊示例

在2013年Nubank（虛擬信用卡）在巴西成功推出之后，如Banco Inter，Next，Digio和Neon相繼出現(xiàn)，他們都與數(shù)字帳戶綁定，且仍然依靠通過SMS進(jìn)行雙因素身份驗(yàn)證。這就為欺詐者實(shí)施SIM卡交換提供了方便。

欺詐者進(jìn)行SIM卡交換后，在另一張SIM卡上激活了受害者的號碼。一旦獲得此訪問權(quán)限，欺詐者就會以受害者的名義使用應(yīng)用程序中發(fā)布的信用卡進(jìn)行多次非法操作。

莫桑比克的SIM卡交換攻擊示例

而在莫桑比克，微型金融服務(wù)非常發(fā)達(dá)，使用者僅需要一部手機(jī)即可搞定一切。

像M-Pesa這樣的移動(dòng)支付系統(tǒng)在非洲產(chǎn)生了巨大的影響。在莫桑比克，每年約有50億美元通過該平臺進(jìn)行交易，相當(dāng)于該國GDP的約41％，而在肯尼亞這樣的成熟和人口稠密的市場，這一數(shù)字高達(dá)330億美元，占GDP總量的48％。

大多數(shù)本地銀行依賴于一次性密碼（OTP），許多人是不使用物理或軟件令牌，因?yàn)檫@會增加客戶的成本和復(fù)雜性，特別是那些低收入的客戶。

手機(jī)詐騙的趨勢在上升

隨著金融包容性服務(wù)在發(fā)展中國家的發(fā)展，欺詐者越來越猖狂。大多數(shù)SIM卡交換欺詐都是內(nèi)外勾結(jié)的結(jié)果。比如銀行員工負(fù)責(zé)提供有關(guān)帳戶余額的信息以及有關(guān)受害者的詳細(xì)信息。有了這些信息，欺詐者就會進(jìn)行網(wǎng)絡(luò)釣魚或SMmiShing攻擊，以訪問受害者的在線銀行賬戶及其驗(yàn)證碼。

在攻擊開始，由于銀行使用短信進(jìn)行OTP，犯罪分子需要進(jìn)行SIM卡交換或SIM卡劫持，將所有受害者的通信重定向到他們所擁有的新SIM卡。為實(shí)現(xiàn)這一目標(biāo)，運(yùn)營商的一些員工負(fù)責(zé)激活手機(jī)號。

解決方案

銀行可以在48-72小時(shí)內(nèi)，禁止更換SIM卡的手機(jī)號碼進(jìn)行任何交易

當(dāng)SIM卡被劫持時(shí)，欺詐者很可能會在SIM卡交換后幾分鐘內(nèi)，快速從銀行賬戶轉(zhuǎn)移資金，以防止受害者有足夠的時(shí)間向移動(dòng)運(yùn)營商投訴并重新控制該號碼。

在SIM卡交換后用戶號碼被阻止后，受害者通常認(rèn)為存在網(wǎng)絡(luò)問題，只有當(dāng)他們發(fā)現(xiàn)附近的其他人仍然有網(wǎng)絡(luò)連接時(shí)，他們才決定去了解發(fā)生了什么。這中間就會浪費(fèi)很多時(shí)間。

以莫桑比克為例，莫桑比克的所有移動(dòng)運(yùn)營商都為銀行提供了一個(gè)平臺，該平臺使用一個(gè)私有API，如果SIM卡交換涉及一個(gè)特定的手機(jī)號碼，且該號碼與一個(gè)銀行賬戶關(guān)聯(lián)的時(shí)間超過了預(yù)先設(shè)定的時(shí)間，該API就會發(fā)出警告。然后銀行決定下一步做什么。

大多數(shù)銀行禁止在過去48小時(shí)內(nèi)更換SIM卡的手機(jī)號碼進(jìn)行任何交易，而其他銀行則選擇72小時(shí)的更長時(shí)間。48-72小時(shí)的時(shí)間被認(rèn)為是安全時(shí)間，在此期間，如果用戶是未經(jīng)授權(quán)更換SIM卡的受害者，他們將與運(yùn)營商聯(lián)系。

平臺工作流程的安全設(shè)置

銀行如果通過VPN連接到不同的移動(dòng)運(yùn)營商，因此所有的流量都是安全的。在線銀行系統(tǒng)向相應(yīng)的移動(dòng)運(yùn)營商進(jìn)行REST API查詢，并將移動(dòng)電話號碼(MSISDN)和時(shí)間段(24-72小時(shí))作為參數(shù)。

如果查詢?yōu)镕alse，則銀行允許正常交易。如果為True，則銀行會阻止交易，并可能會請求其他步驟來驗(yàn)證交易。需要注意的是，移動(dòng)運(yùn)營商不會與第三方(即銀行)共享個(gè)人身份信息(PII)。

一旦平臺工作流程實(shí)施，源自SIM卡交換攻擊的網(wǎng)上銀行欺詐就會急劇下降。不過目前，還幾乎沒有涉及實(shí)施反SIM卡交換平臺的銀行的案例。

必須避免以語音和短信作為真實(shí)身份的驗(yàn)證機(jī)制

以上說的兩種措施都是臨時(shí)解決方案，終極解決方案是必須避免以語音和短信作為真實(shí)身份的驗(yàn)證機(jī)制。

移動(dòng)運(yùn)營商依賴于舊協(xié)議進(jìn)行通信，比如7號信令系統(tǒng)(signal System No. 7)或SS7，該系統(tǒng)最初是在上世紀(jì)70年代開發(fā)的。該協(xié)議存在安全漏洞，允許截取SMS消息或語音通話。按照今天的標(biāo)準(zhǔn)，如果你想保護(hù)銀行賬戶等高價(jià)值信息，手機(jī)/短信不再被認(rèn)為是一種可靠的安全方法。2018年，Reddit的一次攻擊就給大多數(shù)公司敲響了警鐘。根據(jù)Reddit的說法，黑客攻擊發(fā)生在2018年6月14日到2018年6月18日之間，當(dāng)時(shí)一名黑客利用基于SMS的雙因素身份驗(yàn)證（2FA）通過短信攔截來入侵其部分員工的賬戶。然后，黑客設(shè)法從2007數(shù)據(jù)庫備份和一些Reddit用戶的當(dāng)前電子郵件地址訪問舊的 salted 和 哈希密碼。

而且美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）也明確要棄用以雙因素驗(yàn)證的方式來保護(hù)SMS的安全，如果可能，我們建議用戶選擇其他方式，例如在移動(dòng)應(yīng)用程序中生成OTP(如谷歌Authenticator)或使用物理令牌。

生物識別技術(shù)的應(yīng)用

一些運(yùn)營商已經(jīng)實(shí)現(xiàn)了額外的安全機(jī)制，要求用戶通過語音生物識別，使用諸如“我的語音就是我的密碼”之類的口令進(jìn)行身份驗(yàn)證。這項(xiàng)技術(shù)非常安全，甚至可以檢測語音是否為錄音，或者用戶是否患有流感。然而，它被認(rèn)為是一個(gè)昂貴的解決方案，特別是對于新興市場，并且需要一些額外的努力來集成后端系統(tǒng)。

自動(dòng)短信服務(wù)

當(dāng)請求SIM更改時(shí)，運(yùn)營商可以自動(dòng)進(jìn)行消息通知：“你的號碼將從此SIM卡停用。”以提醒所有者已經(jīng)有SIM更改請求。不過，這不會阻止劫持的發(fā)生，只會提醒用戶，以便他們在惡意活動(dòng)的情況下能夠更快地做出響應(yīng)。

在WhatsApp上激活2FA

為了避免WhatsApp被劫持，使用設(shè)備上的六位數(shù)PIN激活2FA至關(guān)重要。如果發(fā)生劫持事件，你將擁有另一層不易繞過的安全層。

不要在TrueCaller等類似應(yīng)用中公開自己的信息

Truecaller是一款幫助用戶將那些騷擾電話或者不想接的電話全部屏蔽的軟件，但是，正如我們之前提到的，欺詐者使用此工具來查找有關(guān)目標(biāo)的更多信息。因此，請不要在TrueCaller等類似應(yīng)用中公開自己的信息。