Serangan ini dikenal sebagai penipuan port-out yaitu ketika penjahat, dengan menggunakan informasi pribadi yang dicuri, menipu perusahaan nirkabel, dalam hal ini TracFone, agar percaya bahwa pelanggan telah membuat permintaan yang sah untuk mentransfer akunnya ke akun lain yang dia miliki. operator yang berbeda. Sebaliknya, layanan nirkabel pelanggan dialihkan ke akun milik penyerang yang kemudian mengambil alih telepon dan menginstal aplikasi dengan menyadap panggilan telepon, pesan SMS, dan kode otentikasi dua faktor. Hal ini memungkinkan penyerang mengakses rekening bank, sekuritas, kartu kredit, dan mata uang kripto korban sehingga menghabiskan semua dana yang tersedia dalam hitungan detik.
Penipuan port-out mirip dengan pertukaran SIM. Serangan terbaru melibatkan penjahat yang meminta dan menerima kartu SIM yang dilampirkan ke akun pelanggan dengan berpura-pura menjadi pelanggan yang tidak dikenal di web atau melalui panggilan telepon dengan perusahaan nirkabel. Setelah kartu SIM baru dikirim ke alamat yang diberikan oleh pencuri kepada operator, SIM yang diminta ditempatkan di telepon penyerang sehingga memungkinkan dia untuk membajak akun pelanggan. Mirip dengan penipuan port-out, pencuri menyadap panggilan telepon, pesan SMS, dan kode otentikasi dua faktor yang memungkinkan dia mengakses dan menguras rekening bank, sekuritas, kartu kredit, dan mata uang kripto korban.,
Verizon membeli TracFone pada November 2021. | Kredit gambar-PhoneArena
Situs web perpesanan TracFone terlibat dalam dua insiden lain yang terjadi pada Desember 2022 dan Januari 2023. Kedua insiden tersebut, penyerang dapat mengakses informasi perpesanan tanpa autentikasi. Para pelaku kejahatan dapat mengeksploitasi kerentanan online yang tidak ditambal hingga Februari 2023. FCC menuduh TracFone gagal melindungi informasi pribadi milik pelanggannya secara wajar dan hal ini merupakan pelanggaran. Operator nirkabel diharapkan melakukan segala tindakan pencegahan yang wajar untuk melindungi informasi pribadi pelanggannya.
Pasal 222 Undang-Undang Komunikasi menyatakan bahwa kegagalan memperoleh informasi hak milik pelanggan secara wajar merupakan pelanggaran terhadap kewajiban pengangkut. Ini juga merupakan praktik yang tidak adil dan tidak masuk akal yang melanggar Pasal 201 Undang-undang. Selain membayar denda perdata sebesar $16 juta, sebagai bagian dari Keputusan Persetujuan, TracFone telah setuju untuk meluncurkan program keamanan informasi untuk mengurangi kerentanan API. Mengurangi kerentanan ini akan mempersulit penyerang menemukan kerentanan untuk dieksploitasi.
FCC juga meminta TracFone setuju untuk meningkatkan pertahanannya terhadap serangan pelanggan yang serius melalui pertukaran SIM dan penipuan port-out yang disebutkan di atas. Perusahaan juga akan melatih karyawan tentang masalah privasi dan keamanan.
Komisi juga telah mengadopsi peraturan yang mengharuskan operator mengambil langkah wajar untuk menemukan, melaporkan, dan melindungi terhadap upaya mengakses CPNI (informasi jaringan milik pelanggan atau data pelanggan yang diperoleh perusahaan telekomunikasi) tanpa izin.”-FCC
