Thực sự, mọi thứ đều tốt hơn SMS, Will Strafach, CEO của công ty bảo mật di động Guardian Firewall cho biết. Các công ty muốn sử dụng. Họ muốn sự tham gia của người dùng. Các công ty động cơ của Aren aren ở một nơi mà họ thiên về bảo mật hơn khả năng sử dụng.
Một số trách nhiệm thuộc về người dùng, những người thường có các tùy chọn để xác thực đa yếu tố mà don liên quan đến tin nhắn văn bản. Ví dụ: trên Twitter, người dùng có thể tạo tài khoản trên ứng dụng xác thực mật khẩu, chẳng hạn như Google Authenticator, Duo hoặc Microsoft Authenticator. Họ cũng có thể mua khóa bảo mật vật lý, như YubiKey, cắm vào cổng USB của máy tính và xác minh danh tính người dùng.
Todd Sherman, một người quản lý sản phẩm tại YouTube, khuyến nghị người dùng nên thiết lập số VoIP, được gắn với dịch vụ dựa trên đám mây như Google Voice chứ không phải cho một điện thoại cụ thể.
Twitter tạm thời tắt khả năng SMS sau khi tài khoản Dorsey, bị hack, nhưng sau đó đã bật lại ở một số nơi, vốn phụ thuộc vào SMS để tweet. Một người phát ngôn của Twitter từ chối cho biết quốc gia nào đã lấy lại được quyền truy cập vào tính năng này.
Các nhà mạng điện thoại cũng chịu trách nhiệm
Trao đổi SIM đã trở nên đủ lớn để thu hút sự chú ý của các nhân viên thực thi pháp luật. Lực lượng đặc nhiệm REACT, một sự hợp tác của các cơ quan địa phương, tiểu bang và liên bang có trụ sở tại Thung lũng Silicon, đã tập trung vào việc hoán đổi SIM trong hơn một năm. Vào tháng Năm, chín người từ một nhóm hack đã bị buộc tội sử dụng trao đổi SIM để đánh cắp hơn 2,4 triệu đô la tiền điện tử.
Một số trong những người bị buộc tội làm việc cho AT & T và Verizon và bị buộc tội giúp đỡ bọn tội phạm bên ngoài có được số điện thoại để đổi lấy tiền hối lộ. Sự tham gia của họ nhấn mạnh vai trò trung tâm mà các nhà mạng điện thoại, cùng với các công ty internet lớn, đóng vai trò loại bỏ việc hoán đổi SIM.
Đó không chỉ là một vài công nhân lừa đảo mà quan tâm. Trao đổi SIM thường liên quan đến những kẻ lừa đảo sử dụng các hành vi lừa đảo để thuyết phục nhân viên của trung tâm cuộc gọi chuyển số sang thẻ SIM mới. Chừng nào con người còn tham gia vào phương trình, thì cả tin là một rủi ro, Strafach nói.
Nếu bạn có thể là kỹ sư xã hội, thì bạn có quyền truy cập, ông nói. Sự kiểm soát của con người cần phải được loại bỏ để giải quyết triệt để vấn đề này.
Các nhà mạng đã giải quyết vấn đề bằng cách khuyến khích hoặc yêu cầu khách hàng thiết lập mã PIN bằng tài khoản của họ. Nếu một hacker đã cố gắng không biết mã PIN liên quan, việc chuyển số điện thoại có thể xảy ra.
Sprint và AT & T cho phép người dùng tạo mật mã trực tuyến, trong khi Verizon yêu cầu. Đầu năm ngoái, T-Mobile đã gửi một cảnh báo tới khách hàng, khuyến nghị họ nên thiết lập mật mã và mô tả việc chiếm đoạt mã PIN như một chương trình đang ảnh hưởng đến toàn bộ ngành công nghiệp không dây.
Tuy nhiên, mã PIN không thể đánh lừa được vì tin tặc có cách tìm thấy chúng nếu chúng được viết ra hoặc lưu trữ ở đâu đó. AT & T từ chối bình luận về những biện pháp bổ sung mà nó thực hiện, và đại diện của Verizon đã không trả lời các yêu cầu bình luận.
Lisa Belot, người phát ngôn của Sprint, cho biết công ty khuyến khích khách hàng của mình thiết lập một mã PIN duy nhất. Nếu ai đó cố gắng thực hiện trao đổi SIM, họ yêu cầu phải xác thực tài khoản của họ bằng cách cung cấp mã PIN hoặc trả lời câu hỏi bảo mật, cô nói thêm. Belot cho biết Sprint thực hiện các biện pháp bảo mật để bảo vệ tài khoản của khách hàng, nhưng đã không nói chi tiết về những gì họ làm.
Người phát ngôn của T-Mobile, công ty đang sáp nhập với Sprint, cho biết khách hàng được khuyến khích liên hệ với công ty về các biện pháp bảo mật bổ sung mà họ có thể thực hiện.
Đây là những cuộc tấn công hình sự chống lại không chỉ khách hàng không dây, mà cả các nhà mạng, người phát ngôn của họ nói. Chúng tôi liên tục làm việc chăm chỉ để ngăn chặn những diễn viên xấu này.
Số PIN là một cách hoàn toàn dễ dàng để ngăn tài khoản của bạn bị tráo đổi SIM, vì nhiều người dùng chọn mã dễ đoán, Strafach nói.
Khi các vụ tấn công SIM tiếp tục gia tăng, những người ủng hộ an ninh đã kêu gọi các nhà mạng làm nhiều hơn để ngăn chặn vấn đề này. Nhưng ngoài mã PIN, các nhà mạng điện thoại đã cung cấp một vài chi tiết công khai về các bước khác, nếu có, họ sẽ thực hiện để ngăn chặn các cuộc tấn công hoán đổi SIM.
Ở những nơi khác trên toàn cầu, các nhà mạng đang ngày càng làm việc với các ngân hàng để thực hiện kiểm tra trao đổi SIM theo thời gian thực để ngăn chặn gian lận và lạm dụng. Với biện pháp khắc phục này, các nhà mạng sẽ thiết lập một hệ thống trong đó các ngân hàng có thể kiểm tra hồ sơ điện thoại cho bất kỳ yêu cầu trao đổi SIM nào gần đây được liên kết với một tài khoản ngân hàng nhất định. Nếu một trao đổi SIM gần đây được phát hiện, nó có thể ngăn chặn chuyển khoản ngân hàng gian lận diễn ra.
Strafach cho biết các nhà mạng nên minh bạch hơn về những nỗ lực của họ nhằm hạn chế trao đổi SIM. Ông cũng bác bỏ lời giải thích rằng các công ty viễn thông đang giữ kín chiến lược của họ trong nỗ lực ngăn chặn tin tặc tìm cách thích nghi.
"Đây không phải là vấn đề để tiết lộ hình thức bảo vệ của bạn. Điều đó chỉ có nghĩa là họ đang làm một cái gì đó nơi nó có thể bị thổi bay, kẻ tấn công có thể đi xung quanh nó", anh nói. "An ninh thông qua che khuất isn sẽ giúp".