<サイパン>犯罪者がSIMスワップ方式で数百万ドルを盗み出す
米連邦捜査局は、不換紙幣や仮想通貨の口座からお金を盗むために、犯罪者によるSubscriber Identity Module(SIM)スワッピングの利用が増加しているとして、一般市民と携帯電話会社に注意を促しています。
昨日のFBIの発表によると、2018年1月から2020年12月までの間にFBIインターネット犯罪苦情センターには、SIMスワッピング事件に関する苦情が320件寄せられ、調整後の損失額は約30億円に上ります。
1200万ドル(約12億円)です。2021年、IC3は1,611件のSIMスワッピングの苦情を受け、調整後の損失額は6,800万ドル以上となりました。
SIMスワップ方式の仕組み
SIMスワッピングとは、犯罪者が携帯電話会社をターゲットにして、被害者の銀行口座や仮想通貨口座などの機密情報にアクセスする悪質な手口です。犯罪者は主に、ソーシャル・エンジニアリング、インサイダー脅威、フィッシングなどの手法を用いて、SIMスワップ取引を実施します。ソーシャルエンジニアリングでは、犯罪者が被害者になりすまし、携帯電話会社を騙して、被害者の携帯電話番号を犯罪者が所有するSIMカードに変更させます。内部脅威を利用した犯罪者は、携帯電話会社の従業員に金銭を渡して、被害者の携帯電話番号を犯罪者が所有するSIMカードに変更させるSIMスワップ・スキームを実行します。犯罪者は、多くの場合、フィッシングの手法を使って従業員を騙し、SIMスワップを行う携帯電話会社のシステムをハッキングするためのマルウェアをダウンロードさせるのです。
SIMが交換されると、被害者の通話やメールなどのデータは犯人の端末に転送されます。このアクセスにより、犯罪者は被害者の携帯電話番号に関連する電子メールやその他のオンラインアカウントに「パスワード忘れ」または「アカウント回復」リクエストを送信することができます。SMSベースの二要素認証を使用すると、モバイルアプリケーションプロバイダは、アカウントにアクセスするためのリンクやワンタイム・パスコードをテキストで被害者の番号(現在は犯罪者が所有)に送信します。犯人はこのコードを用いてログインやパスワードのリセットを行い、被害者の電話番号に関連するオンラインアカウントを管理するようになります。
身を守るには
FBIは、個人が以下のような注意を払うことを推奨しています。
暗号通貨の所有や投資を含む金融資産に関する情報を、ソーシャルメディアのウェブサイトやフォーラムで宣伝しないこと。
アカウントのパスワードやPINを要求する担当者には、電話で携帯電話番号のアカウント情報を提供しないでください。携帯電話会社のカスタマーサービスに電話をかけて確認してください。
– 携帯電話番号や住所など、個人を特定できる情報をネット上に公開しないようにしましょう。
– オンライン・アカウントにアクセスする際は、複数のユニークなパスワードを使用する。SMSを利用した接続方法の変更に注意する。
– オンライン・アカウントへのアクセスには、生体認証、物理的なセキュリティ・トークン、スタンドアロン認証アプリケーションなどの強力な多要素認証方式を使用する。
– パスワード、ユーザー名、その他簡単にログインできる情報をモバイル端末のアプリケーションに保存しない。
FBIは、モバイル通信事業者に対し、以下のような予防策を講じることを推奨しています。
– SIMスワップに関する従業員への教育やトレーニングセッションを実施する。
– 公式な通信が含まれる電子メールの受信アドレスにわずかな変更があると、不正なアドレスが正当なものに見え、実際の顧客名と似てしまうことがあるため、慎重に検査する。
– 新しいデバイスに番号を変更する前に、従業員が効果的に顧客情報を確認できるように、厳格なセキュリティ・プロトコルを設定する。
– 第三者である正規販売店からの顧客情報請求の電話を認証する。
被害者の報告および追加情報
SIMスワップの被害に遭ったと思われる場合。
– すぐに携帯電話会社に連絡し、電話番号の管理権限を取り戻してください。
– オンラインアカウントにアクセスし、パスワードを変更する。
– 金融機関に連絡し、不審なログインがないか口座に警告を出す。
試みたり、取引したりすること
– すべての疑わしい活動に関する情報を、最寄りの法執行機関、あるいは、最寄りのFBI支局(連絡先はwww.fbi.gov/contact-us/field- に掲載されています)に連絡する。
– FBIのインターネット犯罪苦情センター(www.ic3.gov)に活動を報告してください。(PR)
https://www.saipantribune.com/index.php/criminals-use-sim-swap-schemes-to-steal-millions/