Es una carrera sin fin. Las redes móviles intentan mantener todas las medidas de seguridad para que los fraudes sufridos por sus clientes sean lo más raros posible, mientras que los delincuentes “creativos” idean nuevos métodos de extorsión basados en lagunas en los procedimientos de los operadores. T-Mobile tiene que hacer algo con las reglas para emitir tarjetas SIM duplicadas porque se ha descubierto un ejemplo de tal vulnerabilidad.
Arrebatar con una tarjeta SIM duplicada
Aparentemente, T-Mobile tiene lagunas en los procedimientos de seguridad relacionados con el pedido remoto de una tarjeta SIM duplicada en la oferta prepaga. Los editores de Niebezpiecznik lograron hacerse cargo del número de teléfono de alguien sin ningún problema, sabiendo solo el número PESEL de la víctima y usando un motor de arranque común y no registrado. No se necesitaban contraseñas de suscriptor ni datos adicionales de la tarjeta de identificación.
Toda la operación se redujo a la compra de dos entrantes en el salón del operador. Uno de ellos ha sido registrado, el otro no. Durante el registro, se le pidió al cliente que ingresara 8- contraseña de suscriptor digital, que es una seguridad adicional, pero no fue necesario para la verificación del usuario en ninguna de las etapas posteriores de la creación de una tarjeta SIM duplicada. Posteriormente, el editor se puso en contacto con un consultor de T-Mobile por teléfono, lo que es interesante, desde un número que no es el número de contacto proporcionado durante el registro. Convenció al consultor de que habían surgido circunstancias especiales (Danger no reveló lo que se transmitió para no dar a los estafadores soluciones listas para usar), en las que es necesario hacer una tarjeta SIM duplicada. El consultor sugirió transferir el número a una tarjeta SIM no registrada, que se había comprado “felizmente” anteriormente. Y aquí llegamos al meollo del problema: el procedimiento de verificación del usuario incluyó solo la provisión del número PESELseguido del número del nuevo motor de arranque. Sin solicitudes de una contraseña de suscriptor adicional, sin solicitudes de información que pueda aclarar la identidad del cliente.
Es extraño lo fácil que es robar el número de teléfono prepago de T-Mobile de alguien
¿Por qué es tan peligroso?
Si alguien pudiera obtener tan fácilmente una tarjeta SIM duplicada, podría recibir todos nuestros mensajes SMS e interceptar llamadas en ella. No solo eso, si el ataque se llevó a cabo de manera más completa y tuviéramos servicios conectados a un número de teléfono determinado, como un buzón de correo electrónico o una cuenta bancaria, y no usaríamos ninguna seguridad adicional, como la verificación en dos pasos. , sería posible restablecer nuestra contraseña en el correo Gmail. Y desde aquí ya es cuesta abajo utilizar el acceso a él en otros lugares.
Curiosamente T-Mobile no ve ningún problema en el hecho de que el procedimiento para obtener una tarjeta SIM duplicada está tan simplificado. Niebiezpiecznik recibió un comentario sobre las consultas relacionadas con este caso:
Una solicitud de una tarjeta SIM duplicada es muy a menudo consecuencia de la pérdida de un teléfono, cuando muy a menudo perdemos de repente el contacto con nuestros seres queridos, no tenemos acceso a los documentos almacenados en casa y recuperar la tarjeta y el número es una prioridad. Nuestros trámites intentan tener en cuenta la necesidad de obtener rápidamente una tarjeta manteniendo los más altos estándares de seguridad. Nuestra experiencia hasta la fecha muestra que el procedimiento actual cumple con estos supuestos. Independientemente de los procedimientos actualmente vigentes en nuestra red, observamos las prácticas del mercado, implementamos nuevas soluciones, pero también escuchamos la voz de nuestros clientes para brindarles la mayor comodidad y seguridad. Daremos un segundo vistazo a este proceso con la intención de introducir una verificación más profunda del cliente sin dificultarle la recuperación rápida del número.
Afortunadamente, solo los usuarios de prepago de T-Mobile probablemente estén expuestos a la amenaza anterior. Los clientes de suscripción probablemente tengan que completar otros trámites antes de emitirles una tarjeta SIM duplicada (que aún debe verificarse).
¿Qué hacer si tengo un número de T-Mobile prepago?
Escapar a otro operador puede ser una solución, pero solo si pudiéramos determinar cómo se verían los procedimientos para hacer una tarjeta SIM duplicada para la competencia. Si se basaran en supuestos idénticos, tal migración no tendría sentido.
Por tanto, lo más razonable en este punto sería desconectar nuestro número de teléfono de cada cuenta e institución en la que confirmemos operaciones importantes a través del código recibido vía SMS, como reseteo de contraseñas, acceso a servicios de pago o cuentas bancarias.
También se debe enfatizar que estas son solo medidas de seguridad temporales, porque el operador debe, en primer lugar, esforzarse por obtener los procedimientos adecuados y la protección contra la emisión de una tarjeta SIM duplicada en manos de una persona no autorizada. Me pregunto si T-Mobile realmente analizará sus procedimientos y, de ser así, si decidirá hacer correcciones en la verificación de los usuarios que realizan cambios importantes por teléfono.