Предложение FCC направлено против подмены SIM-карт и мошенничества с использованием портов

Федеральная комиссия по связи США (FCC) просит откликов на новые предлагаемые правила по борьбе с подменой SIM-карт и мошенничеством с переносом номера – все более распространенными мошенничествами, в которых похитители личных данных похищают номер мобильного телефона жертвы и используют его для получения контроля над ее личными данными в Интернете.

В давно назревшем уведомлении, опубликованном 30 сентября, FCC заявила, что планирует быстро перейти к требованию от компаний мобильной связи принять более безопасные методы аутентификации клиентов перед перенаправлением их телефонного номера на новое устройство или оператора.

“Мы получили многочисленные жалобы от потребителей, которые понесли значительные страдания, неудобства и финансовый ущерб в результате подмены SIM-карты и мошенничества с переносом номера”, – пишет FCC. “Ввиду серьезного ущерба, связанного с мошенничеством с подменой SIM-карты, мы считаем, что скорейшая реализация этого предложения является целесообразной”.

FCC заявила, что это предложение стало ответом на поток жалоб, поступающих в агентство и Федеральную торговую комиссию США (FTC) о мошенничестве с подменой SIM-карт и переносом номеров. Подмена SIM происходит, когда мошенники обманывают или подкупают сотрудника магазина мобильных телефонов, чтобы он передал контроль над телефонным номером клиента на устройство, которое они контролируют.

Оттуда злоумышленники могут сбросить пароль практически любой учетной записи в Интернете, привязанной к этому мобильному номеру, поскольку большинство онлайн-сервисов все еще позволяют людям сбросить пароль, просто нажав на ссылку, отправленную по SMS на указанный номер телефона.

Мошенники совершают мошенничество с переносом номера, выдавая себя за жертву и требуя передать ее номер другому мобильному провайдеру (и устройству, которое контролируют злоумышленники).

FCC заявила, что операторы традиционно пытаются бороться с обеими формами мошенничества с телефонными номерами, требуя статические данные о клиенте, которые больше не являются секретными и уже были раскрыты в различных местах – такие как дата рождения и номер социального страхования. В качестве примера комиссия указала на недавний взлом в компании T-Mobile, в результате которого стали известны данные о 40 миллионах нынешних, прошлых и потенциальных клиентов.

Более того, жертвы подмены SIM-карт и мошенничества с переносом номера часто узнают о своей виктимизации последними. FCC заявила, что планирует запретить операторам беспроводной связи разрешать подмену SIM-карты, если оператор не использует безопасный метод аутентификации клиента. В частности, комиссия предлагает обязать операторов связи проверять у клиентов “заранее установленный пароль”, прежде чем вносить какие-либо изменения в их учетные записи.

По мнению FCC, несколько примеров заранее установленных паролей включают:

-одноразовый пароль, отправленный текстовым сообщением на телефонный номер счета или заранее зарегистрированный резервный номер
– одноразовый пароль, отправленный по электронной почте на адрес электронной почты, связанный со счетом
– пароль, отправленный с помощью голосового вызова на телефонный номер счета или заранее зарегистрированный резервный номер телефона.

Комиссия заявила, что она также рассматривает возможность обновления своих правил, чтобы обязать операторов беспроводной связи разработать процедуры реагирования на неудачные попытки аутентификации и немедленно уведомлять клиентов о любых запросах на смену SIM-карты

Кроме того, FCC заявила, что может ввести дополнительные требования к обслуживанию клиентов, обучению и прозрачности для операторов связи, отметив, что слишком много персонала по обслуживанию клиентов у операторов беспроводной связи не обучены тому, как помочь клиентам, у которых были украдены номера телефонов.

FCC заявила, что некоторые из полученных ею жалоб потребителей “описывают представителей службы поддержки операторов беспроводной связи и сотрудников магазинов, которые не знают, как решать проблемы, связанные с мошеннической подменой SIM-карт или переносом номеров, в результате чего клиенты тратят много часов на разговоры по телефону и в розничных магазинах, пытаясь добиться решения проблемы”. Другие потребители жалуются, что операторы беспроводной связи отказываются предоставлять им документацию, связанную с мошеннической подменой SIM-карт, что затрудняет подачу исков в финансовые учреждения или правоохранительные органы”.

“В нескольких жалобах потребителей, поданных в Комиссию, утверждается, что в мошенничестве участвуют сотрудники магазина оператора беспроводной связи, или что операторы завершили подмену SIM-карт, несмотря на то, что клиент предварительно установил PIN-код или пароль на счете”, – продолжает комиссия.

Элисон Никсон, эксперт по атакам на подмену SIM-карт, главный исследователь нью-йоркской компании Unit221B, говорит, что любые новые требования к аутентификации должны уравновешивать законные случаи использования клиентами новых SIM-карт при потере или краже устройства. SIM-карта – это маленькая съемная смарт-карта, которая привязывает мобильное устройство к оператору и номеру телефона.

“В конечном итоге, любая статическая защита будет работать только в краткосрочной перспективе, – сказал Никсон, – использование SMS как 2-го фактора само по себе является статической защитой. Преступники приспособились и сделали проблему еще хуже, чем та, для решения которой она была разработана. Долгосрочное решение заключается в том, что система должна реагировать на новые схемы мошенничества и адаптироваться к ним быстрее, чем скорость развития законодательства”.

Хотите высказать свое мнение о предложении FCC? Они хотят услышать вас. Электронная система подачи комментариев находится здесь, а номер докета для этого дела – WC Docket No. 21-341.

Оставьте комментарий