Dus je denkt dat je redelijk veilig bent. U gebruikt complexe wachtwoorden voor al uw online accounts en u gebruikt Two-Factor Authentication via uw smartphone voor een extra beveiligingslaag als het gaat om online bankieren. U weet dat dit betekent dat niemand toegang heeft tot uw bankrekeningen zonder fysieke toegang tot uw telefoon te hebben, zelfs als ze in het bezit waren van uw gebruikersnaam en wachtwoord.

En dan meldt u zich op een dag aan bij uw account en ontdekt u dat iemand duizenden ponden van u heeft gestolen, en uw bank weigert u te geloven, omdat de transactie werd gedaan toen u op uw account was ingelogd. En dat moet jij geweest zijn, omdat ze een unieke toegangscode naar je telefoon hebben gestuurd die werd gebruikt om in te loggen.

Je zou denken dat het afslachten van een dergelijke misdaad het werk was van superintelligente hackers, of zelfs van een inside-job. Dan kom je erachter dat alle criminelen moesten doen om je mobiele provider te bellen.

Dit staat bekend als SIM Swap Fraud, en het is verrassend eenvoudig om te ondernemen. Wanneer het succesvol is, kunnen slachtoffers vaststellen dat hun hele leven is gestolen, met weinig verhaal. Met smartphones als een essentiële tool voor het beveiligen van uw online banktransacties, is het een enge gedachte dat een cybercrimineel de controle over uw telefoon vrij gemakkelijk kan overnemen, dankzij de ernstig lakse beveiligingspraktijken van sommige mobiele operatoren.

Hoe een SIM-wissel werkt

Cybercriminelen scannen het internet voor meer informatie over jou - je hebt waarschijnlijk ooit je volledige naam, adres, geboortedatum, e-mailadres en gegevens van belangrijke familieleden via sociale media gepost. Een open Facebook-profiel kan een aanvaller aanwijzingen geven over je welvaartsniveau (heb je al die foto's van die zeilvakantie in het Caribisch gebied geüpload?) En je hebt waarschijnlijk je functietitel gepost en voor wie je werkt op LinkedIn. Deze geven de aanvallers cruciale aanwijzingen die kunnen worden gebruikt bij een simulatie van SIM Swap tegen u. En als ze eenmaal de combinatie van gebruikersnaam en wachtwoord hebben ontdekt die u gebruikt voor online bankieren - hetzij omdat u viel voor een phishing-e-mail en ze weggaf, of ze verkregen van een gegevensverzameling van de beveiligingsinbreuk van een website waar u gebruik van maakte dezelfde combinatie van gebruikersnaam en wachtwoord - ze zijn halverwege thuis. Het enige wat ze nu hoeven te doen, is bellen met uw gsm-operator.

Ze bellen en beantwoorden een reeks vrij eenvoudige beveiligingsvragen - waarvan ze er veel hebben gekregen via hun onderzoek - en vragen om een ​​nieuwe simkaart om je bestaande te vervangen. Ze kunnen bijna alle redenen voor de simswap gebruiken, zoals het verlies van je telefoon, het beschadigen van je bestaande simkaart of het upgraden naar een ander apparaat. Nu zou je aannemen dat alle mobiele operatoren het een voorwaarde zouden stellen dat elke nieuw bestelde simkaart alleen naar het adres van de accounthouder zou worden gestuurd, maar tijdens het onderzoek voor dit artikel ontdekte ik dat sommige operatoren de simkaart naar elk gewenst adres zullen sturen door de beller. Ja, dat lees je goed. Elk adres ...

Ze hoeven zelfs in sommige gevallen niet eens te bellen naar een callcenter. Ze kunnen gewoon schaamteloos een High Street-filiaal van je mobiele provider binnenlopen, gewapend met alle informatie die ze over je hebben, en gewoon vragen om een ​​SIM-vervanging toen en daar.

Impact van scam op sim-swap

Criminelen in het hele land hebben daarom duizenden ponden gestolen van de bankrekeningen van mensen met behulp van de sim-swap-zwendel en het beveiligingsniveau van de mobiele operatoren is zorgwekkend laag. Richard de Vere van The AntiSocial Engineer heeft gerapporteerd over een slachtoffer die £ 35.000 kwijt was aan een SIM Swap-fraude, toen een cybercrimineel het geld van haar rekening overmaakte naar een bank in Slowakije. Hij slaagde erin om een ​​transcriptie te krijgen van het gesprek tussen de crimineel en het callcenter van Vodafone en, schokkend, de call-handler ging door met het verzoek, hoewel de beller geen van de accountwachtwoorden, gedenkwaardige woorden, contacten aan de telefoon kon geven, hoe veel van de maandelijkse automatische incasso was voor de rekening of zelfs de geboortedatum van het slachtoffer.

Ik meldde dat ik dit artikel aan een vriend schreef, en zij belde onmiddellijk haar mobiele operator om de enige gedenkwaardige vraag te veranderen die de operator gebruikte om toegang tot haar account mogelijk te maken via de telefoon - de meisjesnaam van haar moeder. Voor een aanvaller was dit gemakkelijk te achterhalen gezien de uitgebreide Facebook- en Twittergesprekken die ze met familie voert. Toen ze belde, begreep de agent echter niet waarom ze haar beveiligingsvraag eerst moest veranderen. Dit toont echt aan dat sommige mobiele operators hun callcentermedewerkers niet informeren over de risico's van fraude voor hun klanten.

Banken hebben zwaar geïnvesteerd in innovatieve beveiligingsmaatregelen om online bankieren te helpen veiligstellen. Het is immers in hun belang omdat ze niet alleen financiële verliezen riskeren, maar ook sancties van de Financial Conduct Authority als hun veiligheid tekort schiet. Als onderdeel van deze inspanningen hebben veel banken met succes tweestapsverificatieprocessen geïmplementeerd met behulp van mobiele telefoons. Er zijn echter maar heel weinig banken die momenteel SIM-swapfraude kunnen detecteren.

Banks vechten terug

De technologie is aan het inhalen - First Direct bijvoorbeeld heeft op de dreiging gereageerd door een spraak-ID-programma te implementeren. Dit werkt door de snelheid, cadans en uitspraak van een stem te vergelijken en te vergelijken met een bekend stemgeluid van de echte klant. Het meet zelfs fysieke aspecten zoals de vorm van het strottenhoofd, het vocale kanaal en de nasale doorgang om de beller op zijn of haar account te laten aansluiten. Sinds zijn introductie heeft First Direct geschat dat het systeem meer dan 1.600 pogingen tot fraude heeft voorkomen. Het is zo succesvol geweest dat de technologie is overgenomen door moederbedrijf HSBC en Barclays heeft ook een soortgelijk schema geïntroduceerd.

Maar waarom valt alle verantwoordelijkheid bij de banken? Waarom is het zo gemakkelijk voor een fraudeur om een ​​SIM-kaart te ruilen? Waarom investeren de mobiele operators zelf niet in spraakherkenningstechnologie om fraude te voorkomen? Is het simpelweg omdat ze bijna geen sancties of financiële boetes hebben van SIM-swapfraude, in tegenstelling tot de banken? Zeker Ofcom, in samenwerking met het Bureau van de Informatiecommissaris, zou op strengere veiligheidscontroles binnen deze bedrijven moeten aandringen.

Het gebrek aan vooruitgang binnen deze bedrijven is verbluffend. Ze zouden nu allemaal actief processen moeten aanscherpen en richtlijnen moeten opstellen voor het detecteren van mogelijk frauduleuze activiteiten. Zij zouden het callcenter, online en onsite winkelpersoneel beter moeten trainen in het herkennen van de tekenen van mogelijk frauduleuze activiteiten, bijvoorbeeld wanneer iemand zich mogelijk als een klant zou voordoen. Ze zouden alleen SIM's naar het adres van de geregistreerde accounthouder moeten sturen. Ze moeten investeren in betere beveiligingstechnologie en niet langer vertrouwen op 'beveiligingsvragen' die gemakkelijk kunnen worden beantwoord door een fraudeur die een Facebook-pagina scant. Ze zouden de gegevens over het apparaattype, de locatie en het consumentengedrag van klanten beter moeten gebruiken om proactief mogelijke bedreigingen te identificeren. Waarom zijn ze schijnbaar niet in staat om deze maatregelen te bereiken?

Rol van mobiele operators

In plaats van het bankwezen te verlaten om al het zware werk in de oorlog tegen cybercriminaliteit te doen, moeten mobiele operatoren hun spel opvoeren en hun rol spelen bij de bestrijding van criminaliteit op mobiele telefoons. Ze moeten samenwerken met de banken, de National Crime Agency, het National Cyber ​​Security Center, Ofcom en de ICO om risico's te beperken. Ze moeten niet bang zijn voor GDPR en gegevens op de juiste manier delen - is het immers niet in het belang van hun klanten om al het mogelijke te doen om fraude te voorkomen? Alleen het beschikbaar stellen van historische klantgegevens voor opzoeking door fraudeoplossingen van een bank zou een enorm verschil maken.

Als u het slachtoffer bent geworden van fraude met SIM-swap, moet u niet liegen. Voer uw rechten onder GDPR uit om gegevens van uw mobiele netwerkaanbieder te verkrijgen door hen een onderwerpstoegangsverzoek toe te sturen om te ontdekken wat zij van het incident weten - zij zullen vaak meer informatie hebben dan zij hebben toegestaan. Accepteer niet dat uw bank u probeert terug te betalen - neem contact op met Citizen's Advice en dien een klacht in bij de FCA als dit moet.

We hebben allemaal een rol te spelen bij de bestrijding van cybercriminaliteit - en geen enkele organisatie of industrie mag zijn hoofd in het zand begraven en doen alsof het niets met hen te maken heeft. Tot die tijd raad ik aan om met uw mobiele provider te praten en ten minste te eisen dat zij de beveiligingsvragen die zij u vragen, wijzigen in een die voor een fraudeur ingewikkelder zijn om te verkrijgen, en eisen dat elke nieuwe simkaart alleen naar uw thuisadres. Deze maatregelen zijn niet perfect, maar de mobiele operatoren moeten meer doen om hun klanten tegen fraude te beschermen.

Vince Warrington, oprichter van Beschermende intelligentie

  • We hebben ook de beste antivirus gemarkeerd