Como una de las últimas estrategias para defraudar a clientes inocentes, los estafadores están enfocándose en los teléfonos móviles. Como resultado, los ataques de intercambio de tarjetas SIM presentan una oportunidad atractiva para la adquisición de la cuenta. En estos ataques, los estafadores toman el control del número de teléfono de una víctima, omiten la autenticación de la cuenta basada en SMS y roban credenciales y dinero en efectivo.
A medida que la tecnología inteligente se vuelve más inteligente, también lo hacen los estafadores.
Si bien no todos han oído hablar de estos ataques, siguen siendo los responsables de grandes pérdidas. Las personas en el ámbito de la criptomoneda parecen ser objetivos populares para este tipo de ataques. El año pasado, más de 50 víctimas en California fueron estafadas por más de $35 millones de dólares y un consultor de blockchain perdió sus ahorros de toda la vida.
Debido a que muchos sitios financieros y de ecommerce de hoy dependen de la autenticación basada en el teléfono y requieren que los clientes vinculen sus número de teléfono a las cuentas, los estafadores se sienten cada vez más atraídos por las oportunidades de acceso a la cuenta que ofrecen las tarjetas SIM. Esto es lo que los comerciantes de ecommerce y sus clientes necesitan saber sobre el riesgo.
El intercambio de SIM es una variación de fraude de adquisición de cuenta que aprovecha la capacidad de un proveedor de telefonía móvil de transferir un número de teléfono a un dispositivo que contiene una tarjeta SIM diferente. Debido a que los teléfonos celulares usan tarjetas de tarjeta SIM para almacenar datos de usuarios y autenticar números de teléfono y suscripciones de teléfonos celulares, los estafadores pueden tener acceso a los datos de las tarjetas robadas para acceder a cuentas confidenciales.
Una vez que se intercambian las tarjetas, el trabajo sucio ocurre rápidamente. La víctima puede ver que su teléfono pierde el servicio, se desconecta de las cuentas clave y ve que sus cuentas bancarias se vacían rápidamente.
Aún más frustrante para los clientes es que piensan que están tomando todas las precauciones adecuadas para evitar este tipo de fraude, como habilitar la autenticación de dos factores en las apps, bloquear teléfonos celulares y usar contraseñas seguras.
En muchos casos, un estafador comienza el ataque de intercambio de SIM recopilando datos personales sobre su objetivo, usualmente adinerado. También utilizará correos electrónicos de phishing o comprarán información en la web oscura para engañar a las víctimas para que revelen información como fechas de nacimiento, números de seguridad social y contraseñas. Los estafadores también pueden explorar las redes sociales y los sitios web públicos para recolectar información de identificación personal.
Una vez que el estafador tiene suficiente información sobre la víctima, toma su identidad, se pone en contacto con el proveedor de su teléfono celular, se hace pasar por la víctima y solicita a la compañía telefónica que transfiera el número de la víctima a una tarjeta SIM que controla el estafador.
El intercambio de SIM también puede ocurrir directamente en las tiendas de teléfonos celulares, con empleados corruptos de la tienda que roban la tarjeta SIM de un cliente y la reemplazan por una nueva.
Con la tarjeta robada en la mano, el estafador puede eludir las características de seguridad de los sitios web interceptando contraseñas enviadas por mensajes de texto, restableciéndolas y obteniendo acceso a cuentas bancarias y de inversión. Algunos estafadores vaciarán cuentas invirtiendo saldos en bitcoins, mientras que otros crearán nuevas cuentas bancarias a nombre del cliente para enmascarar los retiros. Es probable que los atacantes también restablezcan las contraseñas en otras cuentas, incluidas las de redes sociales, correo electrónico y sitios de almacenamiento en la nube.
Debido a que es muy difícil para los clientes detectar el intercambio de SIM mientras ocurre, y aún más difícil para las víctimas reparar el daño, es importante que los clientes sepan cómo proteger sus cuentas.
Antes de hacer clic en un enlace en un correo electrónico que solicita información confidencial, los clientes deben pasar el mouse sobre el enlace para asegurarse de que los dirija a una fuente confiable. Si el enlace no es legítimo, deben reportar los correos electrónicos sospechosos directamente a la compañía de la que supuestamente proviene el correo electrónico. Muchas compañías, como PayPal, incluso tienen una dirección de correo electrónico dedicada para que los clientes envíen ahí comunicaciones sospechosas.
Ingresa datos confidenciales solo en sitios web seguros. Los clientes deben buscar nombres de sitios web que comiencen con "https", que tengan el símbolo de candado o un certificado de una compañía como Verisign.
Los clientes deben asegurarse de tener notificaciones configuradas en sus teléfonos para alertarlos cuando la información de la cuenta o las contraseñas cambien. Algunos bancos pueden vincular los números de la tarjeta SIM con la identidad del suscriptor móvil internacional de un teléfono, asegurando que los códigos únicos se envíen solamente al dispositivo en el archivo.
Los principales proveedores de servicios permiten a los clientes asignar un NIP o contraseñas a sus cuentas, lo que reduce el riesgo de que un hacker realice cambios no autorizados. Sin embargo, es importante recordar que este enfoque no es infalible. Los empleados de la tienda pueden tener acceso a estos números y pueden poner en riesgo la cuenta de un cliente.
Si bien el uso de la autenticación de dos factores puede ayudar a los clientes a proteger las cuentas, la verificación de mensajes de texto puede no ser adecuada durante el intercambio de SIM. Las aplicaciones de autenticación o las claves de seguridad pueden ser más efectivas.
Los clientes también deben evitar publicar datos personales en línea, eso incluye participar en cuestionarios de redes sociales cuyas respuestas pueden ayudar a los estafadores a comprometer las cuentas.
Cuando se trata de prevención de fraude, los clientes tienen la responsabilidad de controlar sus cuentas e información. Pero los comerciantes también deben implementar soluciones que puedan detener el fraude antes de que cause un daño grave a su reputación y a sus ingresos.
Si no estás seguro de contar con la solución de fraude adecuada, ponte en contacto con un analista de ClearSale hoy mismo. Ellos pueden ayudarte a analizar las diferentes soluciones de protección contra fraude disponibles y demostrar por qué el sólido enfoque híbrido de ClearSale es la solución elegida por proveedores en todo el mundo.
Artículo Original: https://blog.clear.sale/sim-swapping-how-to-protect-against-this-emerging-scam