.
Esse ataque é conhecido como fraude de portabilidade, que ocorre quando criminosos, usando informações pessoais roubadas, enganam a empresa de telefonia sem fio, neste caso a TracFone, fazendo-a acreditar que um cliente fez uma solicitação legítima para mover sua conta para outra que ele tem com uma operadora diferente. Em vez disso, o serviço sem fio do cliente é transferido para uma conta de propriedade do invasor, que então assume o telefone e os aplicativos instalados interceptando chamadas telefônicas, mensagens SMS e códigos de autenticação de dois fatores. Isso permite que o invasor acesse as contas bancárias, de títulos, de cartão de crédito e de criptomoeda da vítima, drenando todos os fundos disponíveis em segundos.
A fraude de portabilidade é semelhante a uma troca de SIM. O último ataque envolve o criminoso pedindo e recebendo um cartão SIM anexado à conta de um assinante fingindo ser o cliente na web ou por meio de uma ligação telefônica com a empresa sem fio. Uma vez que o novo cartão SIM é enviado para um endereço fornecido pelo ladrão à operadora, o SIM solicitado é colocado no telefone do invasor, permitindo que ele sequestre a conta do cliente. Semelhante à fraude de portabilidade, o ladrão intercepta chamadas telefônicas, mensagens SMS e códigos de autenticação de dois fatores, permitindo que ele acesse e esvazie as contas bancárias, de títulos, de cartão de crédito e de criptomoeda da vítima.
A Verizon comprou a TracFone em novembro de 2021. | Crédito da imagem-PhoneArena
O site de pedidos da TracFone esteve envolvido em dois outros incidentes que ocorreram em dezembro de 2022 e janeiro de 2023. Em ambas as vezes, os invasores conseguiram acessar as informações do pedido sem serem autenticados. Os criminosos conseguiram explorar uma vulnerabilidade online que não foi corrigida até fevereiro de 2023. A FCC acusou a TracFone de não proteger razoavelmente as informações pessoais pertencentes a seus clientes, o que é uma violação. Espera-se que as operadoras de telefonia móvel usem todas as precauções razoáveis para proteger as informações pessoais de seus clientes.
A Seção 222 do Communications Act diz que a falha em proteger razoavelmente as informações proprietárias dos clientes viola o dever de uma operadora. Também constitui uma prática injusta e irracional em violação à Seção 201 do Act. Além de pagar a multa civil de US$ 16 milhões, como parte do Consent Decree, a TracFone concordou em lançar um programa de segurança da informação para reduzir vulnerabilidades de API. A redução dessas falhas deve tornar mais difícil para os invasores encontrarem uma vulnerabilidade para explorar.
A FCC também fez a TracFone concordar em melhorar sua defesa contra ataques sérios a clientes por meio das trocas de SIM e fraude de portabilidade mencionadas anteriormente. A empresa também treinará funcionários em questões de privacidade e segurança.
A Comissão também adotou regras que exigem que as operadoras tomem medidas razoáveis para descobrir, relatar e proteger contra tentativas de acesso a CPNI (informações de rede proprietárias do cliente ou dados de assinantes obtidos por empresas de telecomunicações) sem autorização.”-FCC
.
