Von Neil Downing, VP für Identitätsprodukte bei TMT Analysis
Die Gefahren von Sim-Swap-Angriffen
Kürzlich gab niemand Geringeres als das FBI bekannt, dass US-Bürger im Jahr 2021 mehr als 68 Millionen Dollar durch SIM-Swap-Angriffe verloren haben.
Als Unternehmen, das an vorderster Front versucht, diese Art von Angriffen zu bekämpfen, fallen einem natürlich viele Dinge ein. Erstens, und das ist vielleicht am offensichtlichsten, ist es großartig zu sehen, dass eine Strafverfolgungsbehörde dieses Verbrechen verfolgt und in der Lage ist, es zu beziffern – etwas, das wir im Moment in vielen Ländern nicht sehen! Diese schockierende Zahl bezieht sich auf eine relativ kleine Anzahl (1.611) von Angriffen, was einen Durchschnittswert von etwas mehr als 42.000 Dollar pro Angriff ergibt. WOW! Dies deutet auch darauf hin, dass SIM-Swap vielleicht zu den gezielteren Straftaten gehört, bei denen die Betrüger bestimmte Opfer auswählen, von denen sie wissen, dass sie den Aufwand wert sind.
Zweitens nennt das FBI drei Angriffsvektoren im Bereich des SIM-Tauschs. Bei der ersten handelt es sich um eine Art Social-Engineering-Betrug, bei dem sich der Betrüger gegenüber dem Mobilfunkbetreiber als das Opfer ausgibt und den Betreiber mit Hilfe der erlangten Daten dazu bringt, die Nummer auf ein neues Gerät zu portieren, das sich in der Hand des Betrügers befindet. Es wurde jedoch auch festgestellt, dass Betrüger mit einem Mitarbeiter des Betreibers zusammenarbeiten oder sogar das Signalisierungsnetz des Betreibers hacken, um die Nummer selbst neu zuzuweisen.
Drittens wurde in jüngster Zeit ausführlich analysiert, wie das eigentliche Ziel des Betrugs erreicht wird. In der Regel haben die Betrüger während desselben Phishing-Angriffs, bei dem sie genügend Daten gesammelt haben, um die vom Mobilfunkbetreiber vorgeschriebenen Kontrollen zu bestehen, auch Bankdaten gesammelt, so dass sie, sobald der Tausch erfolgt ist, schnell ein Passwort zurücksetzen und Zugang zu ihren Bankkonten erhalten können, lange bevor das Opfer dies bemerkt.
Wie können Sie sich vor Sim-Swap-Angriffen schützen?
Obwohl die jüngsten Informationen, die wir gesehen haben, eine gewisse „Abflachung“ der SIM-Wechsel Angriffe in Europa (einige Daten deuten sogar darauf hin, dass sie rückläufig sind, da die Betrüger ihre Taktik ändern und stattdessen einen Social-Engineering-Ansatz wählen, um das Opfer dazu zu bringen, seine Daten per Telefon zu übermitteln), gibt es einige offensichtliche Fragen, die sich daraus ergeben sollten.
- Angesichts der Tatsache, dass viele der großen Betreiber eine SIM-Swap-Prüfung anbieten, würden Sie als Bank oder Finanzinstitut nicht gerade jetzt eine SIM-Swap-Prüfung als Teil Ihres Passwort-Reset-Prozesses einführen wollen? Es würde nicht viel kosten und könnte Ihnen Zehntausende an Entschädigung für jedes Opfer auf der Grundlage der oben genannten Punkte ersparen
- Aus der Verwendung der SIM-Swap-Daten, wie sie TMT Analysis seit einiger Zeit vornimmt, geht klar hervor, dass nicht alle Betreiber einen kürzlich erfolgten „Port in“-Ereignis (d.h. wenn ein neuer Teilnehmer seine Nummer in das Netz des Betreibers eingebracht hat) als SIM-Swap zählen. Sollten wir das nicht tun, um Betrug zu vermeiden, denn genau das geschieht in diesen Fällen?
Die Mobilfunkbranche hat bereits ein lobenswertes Verantwortungsbewusstsein an den Tag gelegt, um diese Art von Betrug in den Griff zu bekommen, und viele verschärfen ihre Sicherheitskontrollen noch weiter, um die Gefahr auszuschalten, dass sie gehackt werden oder dass abtrünnige Mitarbeiter dabei helfen können, Einzelpersonen ins Visier zu nehmen, aber die Branche ist nur so gut wie der schwächste Betreiber, so dass noch mehr getan werden muss, um dieses Problem zu lösen. Wie das FBI hervorhebt, nimmt sie in den USA mit einem Wachstum von über 1000 % im Jahr 2021 immer noch exponentiell zu, so dass weitere Maßnahmen sowohl notwendig als auch willkommen sind.
Schützen Sie sich noch heute
Wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Unternehmen vor den Gefahren eines SimSwap-Angriffs schützen können, wenden Sie sich bitte an uns, um unsere Produktpalette zu besprechen, mit der Sie Ihre Kunden schützen können info@tmtanalysis.com
