大规模的SIM卡交换诈骗趋势已经形成

当你的手机在信号很强的地方突然没有信号了，且时间很长，就表示可能有威胁了。

上图是本文的作者去年在一家巴西酒店出差时，大约有30分钟，手机突然失去了连接功能的截图。

经过多番努力无果后，他尝试重新启动设备并再次试图与运营商连接，但还是没有成功。之后通过向运营商的客服人员询问，才知道有人报告此号码“丢失或被盗”，并要求在另一张SIM卡上激活它。

对WhatsApp的攻击目前非常猖獗

WhatsApp是许多国家中最受欢迎的即时通讯工具，巴西的欺诈者使用该应用程序在一项名为“WhatsApp克隆”的攻击中实施诈骗。在SIM卡交换之后，罪犯所做的第一件事就是加载WhatsApp和所有受害者的聊天记录和联系人。然后他们开始以受害者的名义发送消息，比如假装被绑架情况，要求对方立即付款。

还有一些攻击是专门针对公司高管们的，在SIM卡交换之后，联系财务部门转账。

巴西的SIM卡交换攻击示例

在2013年Nubank（虚拟信用卡）在巴西成功推出之后，如Banco Inter，Next，Digio和Neon相继出现，他们都与数字帐户绑定，且仍然依靠通过SMS进行双因素身份验证。这就为欺诈者实施SIM卡交换提供了方便。

欺诈者进行SIM卡交换后，在另一张SIM卡上激活了受害者的号码。一旦获得此访问权限，欺诈者就会以受害者的名义使用应用程序中发布的信用卡进行多次非法操作。

莫桑比克的SIM卡交换攻击示例

而在莫桑比克，微型金融服务非常发达，使用者仅需要一部手机即可搞定一切。

像M-Pesa这样的移动支付系统在非洲产生了巨大的影响。在莫桑比克，每年约有50亿美元通过该平台进行交易，相当于该国GDP的约41％，而在肯尼亚这样的成熟和人口稠密的市场，这一数字高达330亿美元，占GDP总量的48％。

大多数本地银行依赖于一次性密码（OTP），许多人是不使用物理或软件令牌，因为这会增加客户的成本和复杂性，特别是那些低收入的客户。

手机诈骗的趋势在上升

随着金融包容性服务在发展中国家的发展，欺诈者越来越猖狂。大多数SIM卡交换欺诈都是内外勾结的结果。比如银行员工负责提供有关帐户余额的信息以及有关受害者的详细信息。有了这些信息，欺诈者就会进行网络钓鱼或SMmiShing攻击，以访问受害者的在线银行账户及其验证码。

在攻击开始，由于银行使用短信进行OTP，犯罪分子需要进行SIM卡交换或SIM卡劫持，将所有受害者的通信重定向到他们所拥有的新SIM卡。为实现这一目标，运营商的一些员工负责激活手机号。

解决方案

银行可以在48-72小时内，禁止更换SIM卡的手机号码进行任何交易

当SIM卡被劫持时，欺诈者很可能会在SIM卡交换后几分钟内，快速从银行账户转移资金，以防止受害者有足够的时间向移动运营商投诉并重新控制该号码。

在SIM卡交换后用户号码被阻止后，受害者通常认为存在网络问题，只有当他们发现附近的其他人仍然有网络连接时，他们才决定去了解发生了什么。这中间就会浪费很多时间。

以莫桑比克为例，莫桑比克的所有移动运营商都为银行提供了一个平台，该平台使用一个私有API，如果SIM卡交换涉及一个特定的手机号码，且该号码与一个银行账户关联的时间超过了预先设定的时间，该API就会发出警告。然后银行决定下一步做什么。

大多数银行禁止在过去48小时内更换SIM卡的手机号码进行任何交易，而其他银行则选择72小时的更长时间。48-72小时的时间被认为是安全时间，在此期间，如果用户是未经授权更换SIM卡的受害者，他们将与运营商联系。

平台工作流程的安全设置

银行如果通过VPN连接到不同的移动运营商，因此所有的流量都是安全的。在线银行系统向相应的移动运营商进行REST API查询，并将移动电话号码(MSISDN)和时间段(24-72小时)作为参数。

如果查询为False，则银行允许正常交易。如果为True，则银行会阻止交易，并可能会请求其他步骤来验证交易。需要注意的是，移动运营商不会与第三方(即银行)共享个人身份信息(PII)。

一旦平台工作流程实施，源自SIM卡交换攻击的网上银行欺诈就会急剧下降。不过目前，还几乎没有涉及实施反SIM卡交换平台的银行的案例。

必须避免以语音和短信作为真实身份的验证机制

以上说的两种措施都是临时解决方案，终极解决方案是必须避免以语音和短信作为真实身份的验证机制。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!