Key takeaways
- Det finns en uppgång i incidenter med SIM-byte som hackare kan använda för att få tillgång till kreditkort och annan information.
- SIM-attacker ökar eftersom de är lönsamma, säger experter.
-
Ett sätt att försvara sig är att vara försiktig med nätfiskeattacker som kan komma via sms eller e-post.
SIM-kortet i din telefon kan vara nyckeln till att hackare skaffar din data, men experter säger att det finns sätt att skydda dig själv.
FBI varnar människor för en betydande ökning av incidenter med SIM-byte där hackare får tillgång till användarnas kreditkort och annan information. Praktiken drivs av en växande och allt mer lukrativ cyberundervärld.
"Det läskiga med SIM-byte är att offret sällan gör något fel - de klickade aldrig på en nätfiske-länk eller skrev in personlig information på en falsk webbplats", Austin Berglas, tidigare assisterande specialagent med ansvar för FBI:s New York Office Cyber Branch och global chef för professionella tjänster på cybersäkerhetsföretaget BlueVoyant, sa till Lifewire i en e-postintervju.
Titta på ditt SIM-kort
FBI sa att brottslingar lurar mobiloperatörer, genom social ingenjörskonst och på andra sätt, att byta ut offrens mobilnummer till SIM-kort som de har. Med den här metoden kan brottslingen få tillgång till offrets bankkonton, virtuella valutakonton och annan känslig information.
Från januari 2018 till december 2020 fick FBI 320 klagomål relaterade till incidenter med SIM-byte, vilket sammanlagt gav förluster på cirka 12 miljoner dollar. År 2021 fick byrån 1 611 klagomål om SIM-byte med justerade förluster på mer än 68 miljoner USD.
"Federal Bureau of Investigation utfärdar detta tillkännagivande för att informera mobiloperatörer och allmänheten om den ökande användningen av Subscriber Identity Module (SIM) som byter av kriminella för att stjäla pengar från fiat- och virtuella valutakonton", varnade FBI i pressmeddelandet.
SIM-attacker är ganska enkla, säger experter. I en e-postintervju med Lifewire förklarade cybersäkerhetskonsulten Joseph Steinberg att det börjar med att brottslingar upptäcker ditt telefonnummer och så mycket information de kan om dig.
De kontaktar sedan ditt mobiltelefonbolag - eller en av de många butiker som auktoriserats av mobiltjänstleverantörer för att göra tjänsteändringar - och rapporterar, som om de var du, att din telefon blev stulen och ber att numret ska överföras till en annan enhet. Brottslingen använder sedan länkarna eller koderna för att logga in och återställa lösenord som är kopplade till offrets telefonprofil.
"I vissa fall kan de till och med köpa en ny telefon vid tidpunkten, vilket ger säljaren inblandade ett extra incitament att snabbt uppfylla sin begäran", tillade Sternberg.
"Det läskiga med SIM-byte är att offret sällan gör något fel…"
Men varför finns det fler SIM-attacker nu? Enkelt: de är lönsamma.
"När fler människor använder mobiltelefoner och deras stöd för onlinebanker och andra finansiella aktiviteter från dessa enheter, inser brottslingar att de kan få höga vinster från dessa offer," Jon Clay, vice ordförande för hotintelligens på cybersäkerhetsföretaget Trend Micro, berättade för Lifewire via e-post.
Skydda dig själv
SIM-bytesattacker är inte alltid lätta att försvara sig mot, men du kan göra saker som kan hjälpa.
Till att börja, förklarade Clay, var försiktig med alla nätfiskeattacker som kan komma via sms eller e-post. Vissa tidiga varningstecken kan vara plötsliga förändringar i din telefontjänst eller obehöriga säkerhetsvarningar från några av dina applikationer.
"Du kanske inte kan skicka eller ta emot samtal eller sms, du kan få varningar från vänner eller din sociala mediagemenskap [om] misstänkt aktivitet av dig", tillade han. "Om du plötsligt blir utelåst från dina telefonappar är det ytterligare en indikation."
Du bör också övervaka dina bankkonton; någon misstänkt aktivitet kan göra dig uppmärksam på detta hot. Om du misstänker att du kan vara ett offer, kontakta din telefonleverantör omedelbart och, om möjligt, ändra dina inloggningsuppgifter för apparna på din telefon.
Ökningen av SIM-attacker illustrerar en del av det bredare problemet med att använda SMS för multifaktorautentisering. SMS-meddelanden kan förfalskas eller användas för nätfiskeattacker, sa Andrew Shikiar, verkställande direktören för FIDO Alliance, en öppen branschorganisation vars uppdrag är att utveckla autentiseringsstandarder, i en e-postintervju.
Men ny teknik byggs in i vardagliga enheter som tjänsteleverantörer kan använda istället för SMS eller andra äldre former av multifaktorautentisering, sa Shikiar. Ett alternativ är kryptografi med publik nyckel, som upprättar ett unikt par nycklar för varje användarkonto istället för ett lösenord.
"Användaren behöver bara använda en PIN-kod, eller biometrisk på sin enhet, [som] sedan kommunicerar tillbaka med servern på ett sätt som inte kan spoofas eller hackas", sa han.
