Så du tror du er ganske sikkerhetsvennlig. Du bruker komplekse passord for alle dine elektroniske kontoer, og du bruker tofaktorautentisering via smarttelefonen for et ekstra beskyttelseslag når det gjelder nettbank. Du vet at det betyr at ingen kan få tilgang til bankkontoen din uten å ha fysisk tilgang til telefonen din, selv om de var i besittelse av brukernavn og passord.

Og så logger du deg på kontoen din en gang og oppdager at noen har stjålet tusenvis av kilo fra deg, og banken din nekter å tro på deg, da transaksjonen ble gjort når du var logget inn på kontoen din. Og det må ha vært deg, fordi de sendte en unik tilgangskode til telefonen din, som ble brukt til å logge inn.

Du tror kanskje at å treffe en slik forbrytelse var arbeidet med super-intelligente hackere, eller til og med en intern jobb. Deretter finner du ut at alle kriminellene måtte gjøre, var å ringe mobilleverandøren din.

Dette kalles SIM swap Fraud, og det er overraskende enkelt å foreta. Når det er vellykket ofre, kan det hende at hele livsparingen har blitt stjålet, med lite bruk. Med smarttelefoner som et viktig verktøy for å sikre dine banktransaksjoner, er det en skummelt tro på at en cyberkriminell kan gripe kontrollen over telefonen ganske enkelt, takket være de alvorlige lax-sikkerhetspraksisene til enkelte mobiloperatører.

Hvordan en SIM-bytte fungerer

Cyberkriminelle skanner Internett for detaljer om deg - du har sikkert lagt ut ditt fulle navn, adresse, fødselsdato, e-postadresse og detaljer om viktige familiemedlemmer over sosiale medier på et tidspunkt. En åpen Facebook-profil kan gi en angriper ledetråder på ditt nivå av rikdom (har du lastet opp disse bildene av den seilingsferien i Karibia ennå?) Og du har sikkert lagt opp din jobbtittel og hvem du jobber for på LinkedIn. Disse gir angriperne viktige ledetråder som kan brukes i en SIM-swap-svindel mot deg. Og når de har klart å oppdage brukernavnet og passordkombinasjonen du bruker til nettbank - enten fordi du har falt for en phishing-e-post og gitt dem bort, eller de har fått dem fra en datadump fra sikkerhetsbrudd på et nettsted der du brukte samme brukernavn og passordkombinasjon - de er halvveis hjemme. Alt de trenger å gjøre nå, er å ringe til mobiloperatøren din.

De ringer og svarer på et sett med ganske enkle sikkerhetsspørsmål - mange av dem vil ha oppnådd gjennom deres forskning - og be om et nytt SIM-kort for å erstatte den eksisterende. De kan bruke nesten hvilken som helst grunn til SIM-bytte, for eksempel du har mistet telefonen, skadet ditt eksisterende SIM-kort, eller oppgraderer til en annen enhet. Nå vil du anta at alle mobiloperatører vil gjøre det til en forutsetning at noen nylig bestilte SIM-er vil bli sendt til kontoinnehaverens adresse, men i undersøkelsen for denne artikkelen fant jeg ut at noen operatører vil sende SIM-kortet til en hvilken som helst adresse som er forespurt av den som ringer. Ja, du leser det riktig. Enhver adresse ...

De trenger ikke engang å ringe et anropssenter i noen tilfeller. De kan bare gå brazenly inn i en hvilken som helst High Street-gren av mobilleverandøren din, bevæpnet med all informasjonen de har om deg, og bare spør etter en SIM-erstatning da og da.

Virkning av SIM swap svindel

Kriminelle opp og ned i landet har følgelig stjålet tusenvis av pund fra folks bankkontoer ved hjelp av SIM swap-svindel, og sikkerhetsnivået som brukes av mobiloperatørene, er bekymringsfullt lavt. Richard de Vere fra The AntiSocial Engineer har rapportert om et offer som mistet £ 35.000 i et SIM-swap-svindel, da en cyberkriminell overførte pengene fra kontoen til en bank i Slovakia. Han klarte å få et utskrift av samtalen mellom kriminalsamfunnet og Vodafone's call center, og sjokkerende, fortsatte anropshandleren videre med forespørselen, selv om den som ringer ikke kunne gi noen av kontos passord, minneverdige ord, kontakter på telefonen, hvordan mye den månedlige direkte debitering var for kontoen, eller til og med offerets fødselsdato.

Jeg nevnte at jeg skrev denne artikkelen til en venn, og hun ringte umiddelbart hennes mobiloperatør for å endre det eneste minneverdige spørsmålet operatøren brukte for å aktivere tilgang til kontoen hennes via telefon - hennes mors pigenavn. For en angriper hadde dette vært lett å utlede gitt de omfattende Facebook- og Twitter-samtalene hun har med familien. Da hun ringte, forstod operatøren ikke engang hvorfor hun måtte endre sikkerhetsspørsmålet i utgangspunktet. Dette demonstrerer virkelig at enkelte mobiloperatører ikke utdanner deres kundesenter på risikoen for svindel til sine kunder.

Bankene har investert tungt i innovative sikkerhetsforanstaltninger for å sikre sikker nettbank. Det er i deres interesse, da de er i fare for ikke bare økonomiske tap, men også straffer fra Financial Conduct Authority hvis deres sikkerhet er funnet å være ute. Som en del av denne innsatsen har mange banker vellykket implementert to-trinns autentiseringsprosesser ved bruk av mobiltelefoner. Men svært få banker kan for øyeblikket oppdage SIM swap-svindel som det oppstår.

Bankene kjemper tilbake

Teknologien er i ferd med å ta opp - First Direct, for eksempel, har svart på trusselen ved å implementere et stemme ID-program. Dette fungerer ved å krysse gjennom hastighet, kadence og uttale av en stemme og sammenligne den med et kjent stemmeeksempel av den ekte kunden. Den måler til og med fysiske aspekter som for eksempel strupehodet, stemmekanalen og nesepassasjen for å matche den som ringer til sin konto. Siden det ble introdusert, har First Direct anslått at systemet har forhindret mer enn 1600 forsøkte svindel. Det har vært så vellykket at teknologien er blitt vedtatt av morselskapet HSBC, og Barclays har også innført en lignende ordning.

Men hvorfor er alt ansvaret fallende på bankene? Hvorfor er det så lett for en svindler å få et SIM byttet i utgangspunktet? Hvorfor investerer mobiloperatørene seg ikke i talegjenkjenningsteknologi for å forhindre svindel? Er det bare fordi de står overfor nesten ingen sanksjoner eller økonomiske straffer fra SIM swap-svindel, i motsetning til bankene? Sikkert Ofcom, sammen med Informasjonskommissærens kontor, bør insistere på strengere sikkerhetskontroller i disse selskapene.

Mangelen på fremgang i disse selskapene er forbløffende. De bør nå aktivt stramme prosesser og retningslinjer for hvordan å oppdage potensielt svindelaktivitet. De bør trene call center, online og på stedet butikkpersonell bedre på å gjenkjenne tegnene på potensielt svindelaktivitet, for eksempel når noen potensielt kan være forkledning til en kunde. De skal bare sende SIM-er til den registrerte kontoinnehaverens adresse. De bør investere i bedre sikkerhetsteknologi og slutte å stole på "sikkerhetsspørsmål" som lett kan besvares av en svindler som skanner en Facebook-side. De bør gjøre bedre bruk av dataene rundt kundenes enhetstype, plassering og forbrukeradferd for å proaktivt identifisere mulige trusler. Hvorfor er de tilsynelatende ute av stand til å oppnå disse tiltakene?

Mobiloperatørens rolle

I stedet for å forlate banksektoren for å gjøre alt tungt løft i krigen mot nettkriminalitet, må mobiloperatører øke spillet sitt og spille sin rolle for å bekjempe mobilbasert kriminalitet. De må jobbe sammen med bankene, National Crime Agency, National Cyber ​​Security Center, Ofcom og ICO for å redusere risikoen. De må ikke være redde for GDPR og dele data på riktig måte - er det ikke i beste grad av deres kunder å gjøre alt de kan for å forhindre svindel? Bare å gjøre historiske kundedata tilgjengelig for oppslag av bankens bedrageribeskyttelsesløsninger, vil for eksempel gi stor forskjell.

Hvis du er offer for SIM swap svindel, ikke ta det ned. Tren dine rettigheter under GDPR for å skaffe data fra mobiloperatøren din ved å sende dem en spørsmål om tilgangskontroll for å finne ut hva de vet om hendelsen - de vil ofte ha mer informasjon enn de slår på. Ikke godta banken din, og prøv å ikke refundere deg - kontakt medborgers råd og klage til FCA hvis du må.

Vi har alle en rolle å spille for å bekjempe cyberkriminalitet - og ingen organisasjon eller industri bør ha lov til å begrave hodet i sanden og late som om det ikke har noe å gjøre med dem. Inntil da foreslår jeg at du snakker med mobiloperatøren din og krever at de i hvert fall endrer sikkerhetsspørsmålene de ber deg om til de som er mer kompliserte for en svindler å oppnå, og krever at et nytt SIM-kort kun sendes til din hjemmeadresse. Disse tiltakene er ikke perfekte, men mobiloperatørene må gjøre mer for å beskytte sine kunder mot svindel.

Vince Warrington, grunnlegger av Beskyttende intelligens

  • Vi har også markert det beste antivirusprogrammet