Bu saldırı, çalınan kişisel bilgileri kullanan suçluların kablosuz firmayı, bu durumda TracFone’u, bir müşterinin hesabını farklı bir operatörde sahip olduğu başka bir hesaba taşımak için meşru bir talepte bulunduğuna inandırmasıyla gerçekleşen port-out dolandırıcılığı olarak bilinir. Bunun yerine, müşterinin kablosuz hizmeti saldırganın sahip olduğu bir hesaba taşınır ve saldırgan daha sonra telefon görüşmelerini, SMS mesajlarını ve iki faktörlü kimlik doğrulama kodlarını yakalayarak telefonu ve yüklenen uygulamaları ele geçirir. Bu, saldırganın kurbanın banka, menkul kıymetler, kredi kartı ve kripto para hesaplarına erişmesine ve saniyeler içinde tüm kullanılabilir fonları boşaltmasına olanak tanır.
Port-out dolandırıcılığı SIM takasına benzer. İkinci saldırı, suçlunun bir abonenin hesabına bağlı bir SIM kartını, web’de veya kablosuz şirketle yapılan bir telefon görüşmesi aracılığıyla müşteri gibi davranarak istemesini ve almasını içerir. Yeni SIM kart, hırsızın operatöre verdiği bir adrese gönderildiğinde, talep edilen SIM saldırganın telefonuna yerleştirilir ve bu da müşterinin hesabını ele geçirmesine olanak tanır. Port-out dolandırıcılığına benzer şekilde, hırsız telefon görüşmelerini, SMS mesajlarını ve iki faktörlü kimlik doğrulama kodlarını ele geçirerek kurbanın banka, menkul kıymetler, kredi kartı ve kripto para hesaplarına erişip bunları boşaltmasına olanak tanır.
Verizon, Kasım 2021’de TracFone’u satın aldı. | Resim kredisi-PhoneArena
TracFone’un sipariş web sitesi, Aralık 2022 ve Ocak 2023’te gerçekleşen iki olaya daha karıştı. Her iki seferde de saldırganlar kimlik doğrulaması yapılmadan sipariş bilgilerine erişebildi. Kötü niyetli kişiler, Şubat 2023’e kadar düzeltilmeyen bir çevrimiçi güvenlik açığından yararlanabildi. FCC, TracFone’u müşterilerine ait kişisel bilgileri makul bir şekilde güvence altına almamakla suçladı ve bu bir ihlaldir. Kablosuz operatörlerin müşterilerinin kişisel bilgilerini korumak için her türlü makul önlemi alması beklenir.
İletişim Yasası’nın 222. Bölümü, müşterilerin özel bilgilerini makul bir şekilde güvence altına almamanın bir taşıyıcının görevini ihlal ettiğini söylüyor. Ayrıca, Yasa’nın 201. Bölümü’nü ihlal eden haksız ve mantıksız bir uygulama teşkil ediyor. TracFone, Rıza Kararnamesi’nin bir parçası olarak 16 milyon dolarlık sivil cezayı ödemenin yanı sıra, API güvenlik açıklarını azaltmak için bir bilgi güvenliği programı başlatmayı kabul etti. Bu açıkları azaltmak, saldırganların istismar edebilecekleri bir güvenlik açığı bulmasını zorlaştırmalıdır.
FCC ayrıca TracFone’un yukarıda belirtilen SIM takasları ve port-out dolandırıcılığı yoluyla ciddi müşteri saldırılarına karşı savunmasını iyileştirmesini kabul etti. Şirket ayrıca çalışanlarına gizlilik ve güvenlik konularında eğitim verecek.
Komisyon ayrıca, operatörlerin CPNI’ye (Telekomünikasyon şirketleri tarafından elde edilen müşteriye ait özel ağ bilgileri veya abone verileri) izinsiz erişim girişimlerini keşfetmek, raporlamak ve bunlara karşı koruma sağlamak için makul önlemler almasını gerektiren kuralları da benimsedi.”-FCC
