SIM Swapping

Lectura en audio de esta entrada.

Perspectivas generales

El intercambio de tarjetas SIM es el ataque definitorio posterior a 2017 contra el patrón institucional de autenticación de dos factores basado en SMS. La lógica operativa es la observación de que la arquitectura institucional de 2FA basada en SMS generalizada en la banca de consumo, el exchange de criptomonedas, el servicio de correo electrónico y los marcos de autentificación de servicios en línea adyacentes a lo largo del período 2010-2020 asumió que la parte en control operativo de un número telefónico era el suscriptor al que ese número de teléfono fue asignado institucionalmente.

La escala operativa documentada del patrón de ataque posterior a 2017 ha sido sustancial. El informe del FBI IC3 documenta 320 quejas totales de intercambio de SIM entre enero de 2018 y diciembre de 2020, expandiéndose sustancialmente a aproximadamente 1,611 quejas en 2021 y aproximadamente 2,026 en 2022.

La reforma institucional a lo largo del período posterior a 2020 impulsada principalmente por el aviso de la FCC del 30 de septiembre de 2021 de la propuesta de reglamentación y las posteriores reglas de laFCC de 2023 ha restringido pero no eliminado la viabilidad operativa del ataque. La posición establecida es que el intercambio de SIM sigue siendo una amenaza operativa activa contra el inventario de cuentas protegidas por SMS-2FA, y que la respuesta institucional requiere la migración de la infraestructura de flujo de autenticación de SMS-FA a alternativas más seguras (aplicaciones de autenticador TOTP, autenticación con llave de seguridad de hardware, marcos de autentificación con clave de contraseña).[1]

Origen y metodología

Los orígenes operativos del intercambio de SIM se encuentran en el diseño institucional de la infraestructura de servicio al cliente de los operadores móviles en el período posterior a 2000. El patrón de diseño era que los representantes de servicios al cliente del operador móvil tenían autoridad institucional para transferir el número de teléfono de un suscriptor a una tarjeta SIM diferente a petición del suscripto la característica del servicio diseñada para apoyar el caso de uso legítimo de los suscriptores que reemplazan tarjetas SIM perdidas o dañadas. El marco de verificación institucional cómo el representante de servicio del cliente autenticó la identidad de la parte solicitante como el suscripdor real era inadecuado contra los patrones de ataque de ingeniería social.

El inventario documentado de vectores de ataque para el período posterior a 2010 comprende tres categorías principales.

Vector de ingeniería social

El patrón operativo es que el atacante se pone en contacto con el proveedor de telefonía móvil de la víctima a través de la línea telefónica de servicio al cliente, el canal de la tienda minorista walk-in / lexicon / walk-in, o el canal en línea de atención al cliente y se hace pasar por la víctima con el pretexto suficiente para persuadir al representante del servicio al consumidor para que autorice la transferencia del número de teléfono de la victima a una tarjeta SIM que controla el agresor. El pretexto típicamente involucra al atacante haber obtenido previamente información de identificación personal sobre la víctima de fuentes previas de violación de datos, reconocimiento de redes sociales o investigación adyacente de inteligencia de código abierto suficiente para satisfacer el protocolo de verificación del proveedor.

La tasa de éxito operativo del vector de ingeniería social en la literatura documentada de investigación académica posterior a 2017 fue de aproximadamente el 80% frente a prácticamente todos los principales operadores móviles de Estados Unidos en 2018 2020 el principal registro institucional documentado es el estudio de la Universidad de Princeton de 2020 Un estudio empírico de autenticación de operadores inalámbricos para intercambios de SIM por Kevin Lee, Ben Kaiser, Jonathan Mayer y Arvind Narayanan. [1]

Vector de corrupción de información privilegiada

El patrón operativo es que el atacante paga a un empleado institucional de una compañía de telefonía móvil un empleado de una tienda minorista, un representante de servicio al cliente o un empleador de administración de cuentas de back-office para realizar la transferencia de SIM en el curso ordinario de los negocios del empleado. El registro documentado a lo largo del período posterior a 2018 incluye múltiples acusaciones de la corte federal contra AT&T, T-Mobile y Verizon contra el personal de tiendas minoristas y centros de llamadas incluyendo el caso de intercambio de SIM de Michael Terpin de 2018 (en el que participó un trabajador de una tienda minorista de AT & T), la cohorte de 2020 de las acusaciones contra las tiendas y los centros de llamada de T- Mobile, y casos posteriores adicionales.

Vector de cuenta-credencial-compromiso

El patrón operativo es que el atacante obtiene las credenciales de la cuenta de operador en línea de la víctima a través de phishing, relleno de credencial de material de violación de datos anterior o vectores de compromiso adyacentes y realiza la transferencia de SIM a través del portal de autoservicio de cuenta en línea del operador de la victima.

Despliegues operativos documentados

La acusación federal de Joel Ortiz, entonces un estudiante universitario de 20 años en Boston, Massachusetts, por llevar a cabo aproximadamente cuarenta despliegues operativos de SIM-swap a lo largo del período de 2018 que produjeron aproximadamente $ 7.5 millones en criptomonedas robadas, fue el primer caso de condena por delito grave institucional por la conducta de intercambio de SIM en los Estados Unidos. Ortiz no impugnó 10 cargos de delito mayor en el Tribunal Superior del Condado de Santa Clara el 31 de enero de 2019 y fue sentenciado a diez años en la prisión estatal de California el 19 de abril de 2019.[1]

El ataque de intercambio de SIM de 2018 contra el empresario de criptomonedas Michael Terpin llevado a cabo por un empleado de una tienda minorista de AT&T produjo aproximadamente $ 24 millones en criptocurrency robada. El posterior litigio civil de Terpin contra AT & T (presentado en agosto de 2018, C.D. Cal. No. 2:18-cv-06975; el Noveno Circuito se revirtió en parte el 30 de septiembre de 2024, con juicio programado para marzo de 2026) ha sido el caso de referencia institucional para la cuestión de la responsabilidad institucional de la compañía móvil por el despliegue operativo de SIM-swap.

El 30 de agosto de 2019 el despliegue operativo de SIM-swap contra el cofundador y entonces CEO de Twitter Jack Dorsey produjo aproximadamente de quince a treinta minutos de control del atacante sobre la cuenta de Twitter de Dorsey @jack a través de la función de publicación de Twitter-SMS fue el caso de intercambio de SIM de figura pública más documentado. La respuesta de Twitter en el período posterior a 2019 incluyó la interrupción de la característica de publicación por SMS.

El patrón involucró la orientación operativa de cuentas de intercambio de criptomonedas protegidas con autenticación de dos factores basada en SMS, con la consecuencia de que el atacante obtuvo acceso a la cuenta de cambio de la víctima y transfirió las tenencias de criptocurrency a billeteras controladas por el ataque.

La respuesta institucional de la Fuerza de Tarea REACT (2018 presente).** El Equipo de Trabajo de Informática Aliado de Aplicación Regional (REACT) el vehículo cooperativo de aplicación de la ley establecido por la Oficina del Fiscal de Distrito del Condado de Santa Clara y expandido a lo largo del período posterior a 2018 ha sido el principal vehículo institucional para el enjuiciamiento de las implementaciones de SIM-swap. El registro documentado de la fuerza de trabajo de REACt a través del período post-2018 incluye aproximadamente 100 procesamientos federales y estatales relacionados con el SIM swap.

Reglamentación de la Comisión Federal de Comunicaciones

El aviso de la FCC del 30 de septiembre de 2021 sobre la propuesta de reglamentación sobre el SIM-swap y el fraude de portación Proteger a los consumidores del SIM Swap y del Fraude de Portación (FCC 21-128) fue el principal compromiso regulatorio federal con el patrón de SIM-Swap. Las reglas de la 2023 FCC requerían que los operadores móviles implementaran procedimientos definidos de autenticación del cliente antes de autorizar transferencias de SIM; requerían notificación al cliente de solicitudes de transferencia de SIM y establecían requisitos de notificación institucional para incidentes relacionados con el SIM swap. [1]

Marco federal para el enjuiciamiento penal

El marco institucional de enjuiciamiento penal federal para la conducta operativa de SIM-swap implica la aplicación de la Ley de Fraude y Abuso Informático de 1986 (18 U.S.C. § 1030) para el acceso no autorizado a las cuentas en línea de la víctima, el estatuto de fraude electrónico (18 USC § 1343) para la transmisión de comunicaciones fraudulentas a través de las líneas estatales, y la ley de robo de identidad agravado (18 US C § 1028A) para el uso no autorizada de la identidad de la victima. El registro documentado de procesamiento federal posterior a 2018 ha producido aproximadamente cincuenta condenas federales relacionadas con el intercambio de SIM a lo largo del período.[1]

Fuentes y lecturas adicionales

1. Kevin Lee, Ben Kaiser, Jonathan Mayer, y Arvind Narayanan, Un estudio empírico de la autenticación de portadores inalámbricos para SIM Swaps, Universidad de Princeton, 2020 el principal estudio empirico académico de la postura institucional de la resistencia a los intercambios de SIM de los portadores estadounidenses.
2. Federal Communications Commission, * Protección de los consumidores contra el fraude de intercambio y de salida de puertos, FCC Notice of Ruud Proposed Ruud (WC 21-341), adoptado y publicado el 30 de septiembre de 2021. El 31 de febrero de 2019, la Oficina de Fiscalización del Gobierno de los Estados Unidos presentó el primer informe sobre el caso de fraude y responsabilidad civil en curso en el Condado de Santa Clara, California.