T-MobileとVerizonの従業員がSIM交換に300ドルの賄賂を提供

T-MobileとVerizonの従業員がSIM交換に300ドルの賄賂を提供
T-MobileとVerizonの従業員がSIM交換に300ドルの賄賂を提供
賄賂を使ったSIMスワップ

SIMスワップは、私たちが直面する最大のセキュリティ脅威の一つであり、犯罪者が二要素認証で保護されているほとんどのサービスにアクセスすることを可能にします。T-MobileとVerizonの従業員にSIMスワップをさせるために大規模な賄賂を渡そうとした疑いがあることから、状況はさらに悪化する可能性があります。

新しいルールとセキュリティ機能により、こうした攻撃は実行が困難になるはずですが、今こそ、テキスト メッセージではなく認証アプリでアカウントを確実に保護する絶好の機会です。

SIMスワップとは何ですか?

SIMスワップ攻撃とは、誰かがあなたの携帯電話番号を新しいSIMカードに割り当てる攻撃です。つまり、あなたに届くはずの通話やテキストメッセージが、攻撃者に届くことになります。

これは、サービスがテキスト メッセージを使用して 2 要素認証用のワンタイム アクセス コードを送信する場合に特に問題になります。

SIMスワップ攻撃は通常、ソーシャルエンジニアリングを使用して実行され、実行するのは笑ってしまうほど簡単です。

プリンストン大学が実施した驚くべきテストによると、米国の大手通信事業者5社は、いわゆるSIMスワップ攻撃から顧客を適切に保護できていないことが明らかになりました。これらの攻撃は、 標準的なセキュリティ質問に一つも答えることなく、通信事業者に新しいSIMに電話番号を割り当てるよう説得 することに成功しました[…]

使われた方法は驚くほど単純でした。発信者は、主要なセキュリティの質問の答えを忘れたと主張し、生年月日や出生地などの質問に答えられないのは、アカウントの設定時に間違いを犯したに違いないと主張しました。

これらの攻撃は、物理 SIM カードを使用するか eSIM を使用するかに関係なく機能します。

SIMカード交換に300ドルの賄賂

もうひとつの攻撃ベクトルは、キャリアの従業員に賄賂を渡して交換を実行させることだが、モバイル・レポートは、誰かがこれを実行する新しいスタッフを探すために協調的な努力をしていることを突き止めた。

Reddit の複数の投稿や、 The Mobile Reportに情報を提供してくれた別の個人によると 、全米各地の T-Mobile 従業員が、SIM を交換するのと引き換えに現金を提供するという内容のテキスト メッセージを受け取っているそうです。

テキストメッセージには、SIMカードの交換1回につき300ドルを支払うと書かれており、テレグラムで連絡を取るよう要求されています。これらのテキストメッセージはすべて、複数の市外局番にまたがる様々な電話番号から送信されているため、ブロックが困難になっています。

Bleeping Computer は、 Verizon のスタッフも同様のテキストメッセージを受信したと報告している。

当初、これらのテキストメッセージはT-Mobileの従業員だけをターゲットにしていると考えられていたが、Verizonの従業員も同じテキストメッセージのさまざまなバージョンを受け取っていると述べている。

昨年 11 月の FCC 規則の変更により、通信事業者は SIM スワップを実行する前に、より慎重な認証手順を使用する必要があり、また加入者に SIM スワップが完了したことを通知する書面も必要になった。

SIMスワップからどのように保護できますか?

Verizonは、加入者がSIMの差し替えを困難にするための「ナンバーロック」オプションを提供しており、T-Mobileも独自の「SIMプロテクション」を提供しています。ただし、T-Mobileのドキュメントによると、後者は「AppleデバイスでのeSIMの転送を防ぐことはできません」とのことです。とはいえ、これらを有効にする価値はあります。

しかし、最も重要なのは、2段階認証方法として常に認証アプリを選択し、テキストメッセージのオプションを無効にすることです。iOSには独自の認証アプリが用意されており、Google Authenticatorも人気の高い選択肢です。

これらを利用すると、iPhoneのアプリでスキャンしてサービスを追加するためのQRコードが表示されます。アプリはパスワード入力後に必要となる6桁のコードを生成します。

ブレット・ジョーダンによるUnsplashの写真

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。