SIM Değiştirme Dolandırıcılığı veya SIM Klonlama Dolandırıcılığı, doğrulama kodları için SMS mesajlarına dayanan iki faktörlü kimlik doğrulama (2FA) sistemindeki bir güvenlik açığından yararlanır; burada saldırganlar, kurbanın mobil operatörünü transfer etmeye ikna ederek kurbanın cep telefonu numarasının kontrolünü ele geçirmeyi amaçlar. numarayı saldırganın kontrolü altındaki yeni bir SIM karta aktarır.
Saldırgan genellikle veri ihlalleri, sosyal mühendislik saldırıları (ör. kimlik avı e-postaları veya smishing saldırıları) gibi çeşitli yollarla elde edilebilen telefon numarası da dahil olmak üzere kurbanın kişisel bilgilerini ele geçirerek veya bilgileri satın alarak dolandırıcılığı başlatır. karanlık ağ.
SIM Takas Dolandırıcılığının Teknik Yönlerinin Dağılımı:
Saldırgan, kurbanın telefon numarasını ve potansiyel olarak diğer kişisel ayrıntıları (örneğin, Sosyal Güvenlik Numarası, doğum tarihi) aldıktan sonra, kurbanın kimliğine bürünerek kurbanın cep telefonu operatörüyle iletişime geçer.
Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın
Saldırganlar meşru görünmek için operatör temsilcilerini telefonlarını veya SIM kartlarını kaybettiklerine ikna etmek ve yenisini talep etmek için sosyal mühendislik taktiklerini kullanabilir.
Operatörün doğrulama sürecindeki, yalnızca tahmin edilebilir yanıtlara sahip güvenlik sorularına güvenmek veya müşteri hizmetleri temsilcileri için çok faktörlü kimlik doğrulamanın olmayışı gibi zayıflıklar, dolandırıcılığın başarı oranını artırabilir.
Reddit tarafından bildirildiği üzere, eğer sosyal mühendislik başarılı olursa, saldırgan operatörü yeni bir SIM kart çıkarmaya ve bunu cihazında etkinleştirmeye ikna ederek kurbanın telefon numarasını etkili bir şekilde saldırganın kontrol ettiği SIM kartına aktarıyor.
Saldırgan, kontrol ettiği telefon numarasıyla, çeşitli çevrimiçi hesaplara (örn. banka hesapları ve sosyal medya hesapları) yönelik 2FA kodları da dahil olmak üzere, kurbanın numarasına gönderilen tüm SMS mesajlarını ele geçirebilir.
Saldırganlar 2FA güvenlik önlemlerini atlayabilir ve bu kodlara erişim sağlayarak potansiyel olarak kurbanın hesaplarını ele geçirebilir.
Saldırganlar kurbanın hesaplarına eriştikten sonra, banka hesaplarından para aktararak para çalarak, bağlantılı kredi kartlarını kullanarak yetkisiz satın alımlar yaparak ve hatta kurbanın kişisel bilgilerini dolandırıcılık amacıyla kullanarak kimlik hırsızlığı yaparak ortalığı kasıp kavurabilirler.
SIM Değiştirme Dolandırıcılığı Riskini Azaltın:
Operatörler yalnızca bilgiye dayalı kimlik doğrulamaya (ör. güvenlik soruları) güvenmeyi bırakabilir ve müşteri hizmetleri etkileşimleri için çok faktörlü kimlik doğrulamayı uygulayabilir.
Bu, herhangi bir SIM değiştirme isteğini işleme koymadan önce güvenilir bir e-posta adresine veya kayıtlı cihaza tek seferlik doğrulama kodunun gönderilmesini içerir.
Parmak izi veya yüz tanımayı kullanan biyometrik doğrulama, SIM değiştirme talepleri sırasında müşterinin kimliğini doğrulamanın daha sağlam bir yolu olabilir.
Operatörler, müşteri hizmetleri temsilcilerini SIM Değiştirme Dolandırıcılıklarında kullanılan taktikler konusunda eğitebilir ve onları bu tür girişimleri tespit etme ve önleme konusunda daha dikkatli olmaları konusunda eğitebilir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.