La Oficina Federal de Investigaciones advirtió sobre un aumento en los esquemas de intercambio de módulos de identidad del suscriptor (SIM) que infligieron pérdidas de $ 68 millones el año pasado, un aumento considerable de $ 12 millones respecto a 2020.
La mayoría de las personas son conscientes de los diversos peligros que acechan en los rincones oscuros del mundo en línea, como el malware o los esquemas de phishing. Cuando los delincuentes tienen éxito con cualquiera de estos ataques, generalmente se trata de una víctima que hace clic por error en un enlace o instala una aplicación maliciosa. Sin embargo, los ataques de intercambio de SIM pueden tener lugar sin intervención de la víctima, lo que los hace aún más peligrosos.
En la mayoría de los ataques de intercambio de SIM, los delincuentes logran persuadir a los operadores de telefonía móvil para que cambien un número a una nueva tarjeta SIM, otorgándoles acceso a las cuentas bancarias de las víctimas, cuentas de moneda virtual y otra información confidencial al comprometer la autenticación multifactor.
"Los actores criminales principalmente realizan esquemas de intercambio de SIM utilizando ingeniería social, amenazas internas o técnicas de phishing", dice el FBI. "La ingeniería social involucra a un actor criminal que se hace pasar por una víctima y engaña al operador de telefonía móvil para que cambie el número de teléfono móvil de la víctima a una tarjeta SIM en posesión del delincuente".
Cuando las llamadas, los mensajes de texto y otros tipos de datos se redirigen al nuevo teléfono, los delincuentes pueden tomar el control enviando solicitudes de "Olvidé mi contraseña" o "Recuperación de la cuenta" al correo electrónico o las cuentas en línea de las víctimas. Todos los pasos en estos esquemas de SIM omiten a la víctima, quien a menudo se entera cuando ya es demasiado tarde.
FIB también emitió las siguientes recomendaciones:
No anuncie información sobre activos financieros, incluida la propiedad o inversión de criptomonedas, en foros y sitios web de redes sociales.
No proporcione la información de su cuenta de número de móvil por teléfono a los representantes que le soliciten la contraseña o el PIN de su cuenta. Verifique la llamada marcando la línea de atención al cliente de su operador de telefonía móvil.
Evite publicar información personal en línea, como números de teléfono móvil, direcciones u otra información de identificación personal.
Utilice una variedad de contraseñas únicas para acceder a las cuentas en línea.
Sea consciente de cualquier cambio en la conectividad basada en SMS.
Utilice métodos sólidos de autenticación de varios factores, como datos biométricos, tokens de seguridad físicos o aplicaciones de autenticación independientes para acceder a cuentas en línea.
No almacene contraseñas, nombres de usuario u otra información para iniciar sesión fácilmente en aplicaciones de dispositivos móviles.
Si bien los operadores de telefonía móvil han implementado muchas medidas de seguridad que los ayudan a identificar a la persona que llama como el propietario de los números, la ingeniería social a veces es suficiente para que los delincuentes descubran lo que necesitan.
El FBI también aconseja a las empresas que tomen algunas medidas preventivas:
Educar a los empleados y realizar sesiones de capacitación sobre el intercambio de SIM.
Inspeccione cuidadosamente las direcciones de correo electrónico entrantes que contengan correspondencia oficial en busca de pequeños cambios que puedan hacer que las direcciones fraudulentas parezcan legítimas y se parezcan a los nombres de los clientes reales.
Establecer estrictos protocolos de seguridad que permitan a los empleados verificar de manera efectiva las credenciales de los clientes antes de cambiar sus números a un nuevo dispositivo.
Autenticar las llamadas de los minoristas autorizados de terceros que solicitan información del cliente.
FUENTE: Hot for Security
Comments