Verizon はプリペイドの顧客に対し、攻撃者が非公開の数の Verizon アカウントにアクセスし、公開されたクレジット カード情報を SIM スワッピング攻撃に使用したと警告しました。
「2022 年 10 月 6 日から 10 月 10 日の間に、第三者があなたのアカウントで自動支払いを行うために使用されたクレジット カードの最後の 4 桁にアクセスしたと判断しました」 と Verizon は今週発表されたアラートで述べました。
「そのクレジット カードの下 4 桁を使用して、第三者があなたの Verizon アカウントにアクセスでき、この通知にリンクする SMS を受信したプリペイド回線で SIM カードの不正な変更を処理した可能性があります。SIM カードが変更された場合、Verizon はそれを取り消します。」
Verizon は、クライアントのアカウントへのさらなる不正アクセスをブロックし、この悪意のある活動がまだ進行中であるという証拠は見つからなかったと付け加えました。
同社はまた、「十分な注意を払って」非公開の数の顧客のアカウント セキュリティ コード (PIN) をリセットしました
通知によると、攻撃者は完全なクレジット カード番号や顧客の銀行情報、財務情報、パスワード、社会保障番号、納税者番号、またはその他の個人情報にアクセスできませんでした。これは、ユーザー アカウントにこれらの情報が含まれていないためです。
しかし、Verizon は、攻撃者が侵害されたアカウントの名前、電話番号、請求先住所、価格プラン、およびその他のサービス関連情報にアクセスできた可能性があると述べました。
暗号を盗むために使用される SIM スワップ攻撃
この通知を受け取った Verizon の顧客の 1 人は、Verizon が顧客に警告する 1 週間以上前に、SIM スワップ攻撃の被害者であったと語っています。
「10 月 7 日に SIM を交換したとき、攻撃者は私の電子メールを侵害し、私の仮想通貨アカウントにアクセスしようとした」
「彼らはCoinbaseの侵害からの情報を使用して私を標的にしたと思われますが、Verizonからのクレジットカード情報が公開されたためにアクセスできました。」
SIM スワッピング(別名 SIM ハイジャック、SIM スプリッティング、または SIM ジャッキング) を使用すると、犯罪者は、ソーシャル エンジニアリングを使用して、または賄賂を利用して、攻撃者が制御する SIM カードに電話番号を交換するようモバイル キャリアを説得することにより、標的の電話番号を制御できます。
Verizon の通知は今週初めに Web サイトで公開され、これらの攻撃について顧客に警告されましたが、通信大手は、メタデータに「noindex」タグと「nofollow」タグを追加することで、検索エンジンがページをインデックスに登録しないようにしました。
今後の攻撃から Verizon アカウントを保護するために新しい Verizon PIN コードを設定すること、および My Verizon オンライン アカウントを保護するために新しいパスワードと秘密の質問を設定することが推奨されています
Verizon はまた、顧客が My Verizon アプリまたは My Verizon Web サイトを通じて無料の「Number Lock」保護機能を有効にすることで、SIM スワッピング攻撃から防御できるようにします。
電話番号がロックされると、アカウント所有者がロックを解除しない限り、別の回線/キャリアに移植したり、別の SIM にスワップしたりすることはできなくなります。
1 年前、Verizon が所有するデジタル ワイヤレス キャリアの Visible も、数日間にわたる技術的な問題の後、一部の顧客アカウントがハッキングされたことを認めました。
Comments