SIMスワップ不正の仕組み
電話番号は持ち運び可能な認証情報です。携帯キャリアは、顧客が紛失したりアップグレードしたりした端末を交換できるよう、番号をあるSIMから別のSIMへ移せます。SIMスワップ不正はこの正当な番号移行プロセスを悪用します。攻撃者はキャリアを説得して被害者の番号を攻撃者の手元にあるSIMに再割り当てさせ、その後、セキュリティコードを含むその番号へのすべての通話とテキストが、被害者ではなく攻撃者に流れます。
スワップを引き起こすために、攻撃者はキャリアに対して被害者になりすまし、侵害、フィッシング、ソーシャルメディアから収集した個人データを使って本人確認の質問に答えるか、あるいは店舗やサポートのスタッフをソーシャルエンジニアリングまたは買収します。番号が移されると、被害者自身の端末は通常サービスを失いますが、これは見逃したり軽視したりしやすい早期の兆候です。
番号を掌握すると、攻撃者はアカウントの乗っ取りへと動きます。メール、銀行、取引所などのアカウントのパスワードリセットとワンタイムパスコードを要求し、SMSコードを傍受し、電話番号を信頼された要素として頼るログインや復旧のフローを完了させます。被害者がサービスを復旧してプロバイダーに警告するまでの時間は短いため、速度が重要であり、攻撃者は標的を事前に準備して素早く価値を引き出します。
不正防止においてSIMスワップ不正が重要な理由
SIMスワップ不正が危険なのは、いまだ多くのサービスが依存するSMSベースの多要素認証と電話ベースのアカウント復旧を直接損なうからです。スワップの成功は、他のリセットの起点となるメールを含む、被害者の最も機微なアカウントの乗っ取りへと連鎖しかねず、とりわけ銀行や暗号通貨での損失は大きく、そして速くなりえます。これは、電話番号を所持要素として信頼することのリスクを浮き彫りにします。所持は、アカウント所有者の関与なしに静かに移転されうるからです。
TRACIOでの扱い方
TRACIOは、SIMスワップが標的とするログインと復旧のフローにデバイス認識を加えることで、電話番号を唯一の防御線として頼ることを減らします。Identification製品は130を超えるシグナルから永続的な訪問者IDを割り当てるため、攻撃者が有効なワンタイムコードを保持していても、そのログインは被害者のいつものデバイスではなく認識されないデバイスから届き、これはチャレンジまたはブロックの強力なシグナルとなります。それまで安定していたアカウントでの突然のデバイス変更が、IP IntelligenceとSmart Signalsが浮かび上がらせる、攻撃者がよく使う匿名化ネットワークと組み合わさることで、リスクエンジンは、コードは正しいがデバイスが異常な復旧試行を高リスクとして扱えます。これにより、盗まれたパスコードだけでは不十分な認証情報になります。