De Amerikaanse Federal Communications Commission (FCC) heeft nieuwe regels aangenomen die tot doel hebben consumenten te beschermen tegen oplichting met mobiele-telefoonaccounts, waardoor kwaadwillende actoren sim-swapping-aanvallen en port-out-fraude kunnen orkestreren.
“De regels zullen consumenten helpen beschermen tegen oplichters die zich op gegevens en persoonlijke informatie richten door heimelijk simkaarten naar een nieuw apparaat te wisselen of telefoonnummers naar een nieuwe provider over te dragen zonder ooit fysieke controle over de telefoon van een consument te krijgen”, zei FCC deze week.
Terwijl SIM-swapping verwijst naar het overbrengen van de account van een gebruiker naar een SIM-kaart die wordt beheerd door de oplichter door de mobiele provider van het slachtoffer te overtuigen, vindt port-outfraude plaats wanneer de slechte actor, die zich voordoet als het slachtoffer, zijn telefoonnummer van de ene serviceprovider naar de andere overdraagt zonder hun kennis.
De nieuwe regels, voor het eerst voorgesteld in juli 2023, verplichten draadloze providers om veilige methoden te gebruiken om een klant te authenticeren voordat het telefoonnummer van een klant wordt omgeleid naar een nieuw apparaat of nieuwe provider.
Een andere vereiste zorgt ervoor dat klanten onmiddellijk op de hoogte worden gesteld wanneer er een simkaartwijziging of port-outverzoek voor hun accounts wordt gedaan, zodat ze passende maatregelen kunnen nemen om zich tegen dergelijke aanvallen te beschermen.
SIM-swapping is een serieuze bedreiging gebleken, waardoor bedreigingsactoren als LAPSUS$ en Scattered Spider bedrijfsnetwerken kunnen infiltreren. Door de dienst te migreren naar een door een actor bestuurd apparaat, kunnen aanvallers sms-gebaseerde tweefactorauthenticatiecodes omleiden en de online accounts van slachtoffers overnemen.
“Omdat we onze telefoonnummers zo vaak gebruiken voor tweefactorauthenticatie, kan een slechte acteur die de controle over een telefoon overneemt ook de controle over financiële rekeningen, sociale media-accounts, enzovoort, overnemen”, aldus FCC-commissaris Geoffrey Starks.
“Consumenten moeten kunnen rekenen op veilige verificatieprocedures en betrouwbare privacygaranties van hun draadloze providers. En ze moeten hun dag kunnen doorbrengen zonder bang te hoeven zijn dat iemand ergens de controle over hun telefoon overneemt zonder een enkel waarschuwingssignaal.”
De ontwikkeling komt op het moment dat de FCC zei dat het ook een onderzoek start om de impact van kunstmatige intelligentie (AI) op robocalls en robotexts te begrijpen.
“AI zou de analysetools kunnen verbeteren die worden gebruikt om ongewenste oproepen en sms-berichten te blokkeren en het vertrouwen in onze netwerken te herstellen”, aldus het bureau. “Maar AI zou slechte actoren ook in staat kunnen stellen consumenten gemakkelijker te bedriegen via telefoontjes en sms-berichten, bijvoorbeeld door technologie te gebruiken om stemmen van overheidsfunctionarissen of andere vertrouwde bronnen na te bootsen.”
