\r\n\r\n
犯罪者はあなたになりすまし、あなたの電話番号を別の**に移して盗むことができます。その後、お客様の銀行口座やその他の安全なサービスにアクセスするためのセキュリティコードが**SMSで送信されます。
"アウトバウンド詐欺 "は、**業界全体**の大きな問題である。この詐欺は、犯人があなたを装って、あなたの現在の電話番号を別の**オペレーターに転送するものです。このプロセスは「ポーティング」と呼ばれ、新しい携帯電話会社に乗り換える際、電話番号を維持できるようにするためのものです。あなたの電話番号へのメールや電話は、あなたのものではなく、彼らの**に送られることになります。
銀行口座を含む多くのオンライン口座では、二要素認証の方法として電話番号が使用されているため、これは大きな問題です。最初に**にパスワードを送らないとログインさせてくれない。しかし、移植詐欺が発生した後、犯人は**にそのセキュリティコードを受け取ることになります。彼らはそれを使って、あなたの金融口座やその他の機密サービスにアクセスすることができます。
もちろん、この種の攻撃は、攻撃者がすでに他のアカウントにアクセスしている場合に最も危険です(たとえば、オンラインバンキングのパスワードや電子メールアカウントへのアクセスをすでに入手している場合など)。しかし、このような状況でお客様を保護するために、攻撃者がSMSベースのセキュアメッセージングを迂回することを可能にします。
この攻撃は、現在使用しているSIMカードから攻撃者のSIMカードに電話番号を移動させるため、SIMカードハイジャックとも呼ばれています。
この詐欺は、IDセフトと共通するところが多い。誰かがあなたの個人情報を盗み、それを偽装して、あなたの**キャリアにあなたの電話番号を新しい**に移動させる。キャリアは、本人確認のために個人情報の提供を求めますが、通常は国民保険番号の提供で十分です。完璧な世界であれば、社会保障番号は非公開となるはずですが、これまで見てきたように、多くの大企業の情報漏洩事件で、多くのアメリカ人の社会保障番号が漏洩しています。
もし相手があなたの**キャリアになりすますことに成功すれば、切り替えが行われ、あなたに送られたテキストメッセージやあなたがかけるつもりの通話はすべて相手の**キャリアに転送されることになります。お客様の電話番号は同社の**に関連付けられ、お客様の現在の**は電話、SMS、データサービスを提供しなくなります。
これはまさにソーシャル・エンジニアリング攻撃の一種と言えるでしょう。他人になりすまして会社に電話をかけ、ソーシャルエンジニアリングを使って、本来持っていないはずのものを手に入れる人がいる。他の企業と同様、事業者は正規の顧客にとってできるだけシンプルであることを望んでいるため、そのセキュリティ対策はすべての攻撃者を防御できるほど厳重ではないかもしれません。
お使いの**通信事業者が安全なPINコードを設定していることを確認することをお勧めします。このPINは、電話番号のポーティングに必要なものです。以前は、多くの**キャリアが、国民保険番号の下4桁を暗証番号として使用していたため、ポートアウト詐欺が簡単にできていました。
他の**キャリアをご利用の場合は、各キャリアのウェブサイトをご確認いただくか、****までお問い合わせください。
残念ながら、これらのセキュリティコードを回避する方法は存在します。例えば、多くのオペレーターの場合、オンラインアカウントにアクセスできる攻撃者は暗証番号を変更することができます。誰かが十分な個人情報を知っていれば、**オペレーターのすべてを伝え、「パスワードを忘れた」と言い、どうにかリセットできたとしても、私たちは驚きではありません。オペレーターは、パスワードを忘れた人がパスワードをリセットする方法を用意する必要があります。しかし、移植から身を守るにはそれしかありません。
モバイルネットワークは、セキュリティの強化に取り組んでいます。米国の大手4社**、AT&T、スプリント、T-モバイル、ベライゾンは、ポーティング詐欺などの不正行為をより困難にするため、「モバイル認証タスクフォース」と呼ばれるプロジェクトに共同で取り組んでいます。
電話番号ポート詐欺は、SMSベースの2段階セキュリティを可能な限り避けるべき理由の一つです。私たちは皆、自分の電話番号は完全に自分の管理下にあり、自分の電話機にしか関係しないと思いたいものです。実際、電話番号に依存している場合、電話番号を保護し、攻撃者が盗むのを阻止するために、**キャリアの***に依存している場合、これは真実ではありません。
セキュリティコードをテキストメッセージで送信するのではなく、Authyアプリなどでコードを生成し、他の二要素セキュリティの方法を使用することをお勧めします。これらのアプリケーションは、あなたの**にコードを生成するため、犯人は実際にあなたの**を持ち、セキュリティコードを取得するためにそれをロック解除する必要があります。
残念ながら、多くのオンラインサービスでは、**番号SMS認証の利用が必須であり、代替手段を提供していません。また、代替手段を提供しているサービスでも、万が一に備えて、バックアップ方法として電話番号にコードを送信できるようにしている場合もあります。SMSコードを避けて通ることはできません。
関連:二要素認証にSMSを使うべきではない理由(と、代わりに使うべきもの)
人生何事もそうですが、完全に自分の身を守ることは不可能です。あなたにできることは、攻撃者があなたのデバイスとパスワードを保護するのを難しくすること、あなたの**アカウント**で安全な暗証番号を確認すること、重要なサービスでSMS認証を使用しないようにすること、です。
写真提供:Foto.Touch/Blindsホームページ。