Så du tror att du är ganska säkerhetskunnig. Du använder komplexa lösenord för alla dina onlinekonton, och du använder tvåfaktorautentisering via din smartphone för ett extra skyddslag när det gäller onlinebankning. Du vet att det här betyder att ingen kan komma åt dina bankkonton utan att ha fysisk tillgång till din telefon, även om de hade ditt användarnamn och lösenord.

Och sedan loggar du in på ditt konto en dag och upptäcker att någon har stulit tusentals pund från dig, och din bank vägrar att tro på dig, eftersom transaktionen gjordes när du loggades in på ditt konto. Och det måste ha varit dig, eftersom de skickade en unik åtkomstkod till din telefon som användes för att logga in.

Du kanske tror att dra av ett sådant brott var superintegrativa hackers arbete, eller till och med ett inrikesjobb. Då får du reda på att alla brottslingar måste göra var att ringa din mobilleverantör.

Detta är känt som SIM swap Fraud, och det är förvånansvärt enkelt att genomföra. När det är framgångsrikt kan offer upptäcka att hela deras livsbesparingar har blivit stulna, med litet utnyttjande. Med smartphones som ett viktigt verktyg för att säkra dina banktransaktioner är det en skrämmande tanke att en cyberkriminell lätt kan ta kontroll över din telefon ganska enkelt tack vare de seriösa lössäkerhetspraxis som vissa mobiloperatörer.

Hur en SIM-swap fungerar

Cyberkriminella söker på internet för detaljer om dig - du har förmodligen lagt upp ditt fullständiga namn, adress, födelsedatum, e-postadress och detaljer om viktiga familjemedlemmar över sociala medier vid någon tidpunkt. En öppen Facebook-profil kan ge en anfallare ledtrådar om din nivå av rikedom (har du laddat upp de bilderna på den segling semester i Karibien än?) Och du har antagligen lagt upp din jobbtitel och vem du jobbar på på LinkedIn. Dessa ger angriparna viktiga ledtrådar som kan användas i ett SIM-swap-bedrägeri mot dig. Och när de har lyckats upptäcka användarnamnet och lösenordskombinationen som du använder för webbbanker - antingen för att du föll i ett phishing-e-postmeddelande och lämnade dem bort, eller de fick dem från en datadumpning från säkerhetsbrottet mot en webbplats där du använde samma användarnamn och lösenordskombination - de är halvvägs hemma. Allt de behöver göra nu är att ringa till mobiloperatören.

De ringer och svarar på en uppsättning ganska enkla säkerhetsfrågor - många av dem kommer att ha erhållit genom sin forskning - och be om ett nytt SIM-kort för att ersätta din befintliga. De kan använda nästan vilken anledning som helst för SIM-switchen, till exempel att du har tappat telefonen, skadat ditt befintliga SIM-kort eller uppgraderar till en annan enhet. Nu skulle du anta att alla mobiloperatörer skulle göra det en förutsättning att alla nybeställda SIM-skivor skulle skickas till kontohavarens adress endast, men under undersökningen för denna artikel fann jag att vissa operatörer skickar SIM-kortet till någon adress som begärts av den som ringer. Ja, du läste det korrekt. Alla adresser ...

De behöver inte ens ringa ett callcenter i vissa fall. De kan bara gå brazenly till vilken mobilleverantör som helst på High Street, beväpnad med all information som de har om dig och bara fråga om en SIM-ersättning då och då.

Inverkan av SIM-swapp scams

Kriminella upp och ner i landet har följaktligen stulit tusentals pund från människors bankkonton med hjälp av SIM swap-scam och säkerhetsnivån som används av mobiloperatörerna är oroväckande låg. Richard de Vere från AntiSocial Engineer har rapporterat om ett offer som förlorade 35.000 pund i ett SIM-swapbedrägeri när en cyberkriminell överförde pengarna från hennes konto till en bank i Slovakien. Han lyckades få ett transkript av samtalet mellan kriminella och Vodafones callcenter och chockerande fortsatte samtalshanteraren med förfrågan trots att den som ringer inte kunde ge något av lösenordet för lösenord, minnesvärda ord, kontakter i telefonen, hur mycket den månatliga direktavgiften var för kontot eller till och med offrets födelsedatum.

Jag nämnde att jag skrev den här artikeln till en vän och hon ringde omedelbart sin mobiloperatör för att ändra den enda minnesvärd fråga som operatören använde för att få åtkomst till kontot via telefonen - hennes mors pigenamn. För en angripare skulle det ha varit lätt att dra nytta av de omfattande Facebook- och Twitter-konversationerna hon har med familjen. När hon ringde, förstod operatören inte ens varför hon behövde ändra sin säkerhetsfråga i första hand. Detta visar verkligen att vissa mobiloperatörer inte utbildar sina callcenterpersonal om risken för bedrägeri till sina kunder.

Bankerna har investerat kraftigt i innovativa säkerhetsåtgärder för att säkra online banking. Det är i deras intresse, trots allt, eftersom de riskerar inte bara finansiella förluster utan också påföljder från Financial Conduct Authority om deras säkerhet visar sig vara vilseledande. Som en del av dessa ansträngningar har många banker framgångsrikt implementerat tvåstegs autentiseringsprocesser med mobiltelefoner. Men väldigt få banker kan för närvarande upptäcka SIM swap-bedrägeri som det inträffar.

Bankerna slåss tillbaka

Tekniken är på gång - First Direct har till exempel svarat på hotet genom att implementera ett röst ID-program. Detta fungerar genom att korsa hastighet, kadens och uttal av en röst och jämföra den med ett känt röstprov av den äkta kunden. Det mäter till och med fysiska aspekter som formen av struphuvudet, röstkanalen och nasalpassagen för att matcha den som ringer till deras konto. Sedan det introducerades har First Direct uppskattat att systemet har förhindrat över 1600 försök att bedrägeri. Det har varit så framgångsrikt att tekniken har antagits av moderbolaget HSBC, och Barclays har också infört ett liknande system.

Men varför faller allt ansvar på bankerna? Varför är det så enkelt för en bedrägeri att få ett SIM-utbyte i första hand? Varför satsar mobiloperatörerna inte själva på röstigenkänningsteknik för att förhindra bedrägerier? Är det helt enkelt för att de nästan inte står inför några sanktioner eller ekonomiska påföljder från SIM-byte av bedrägeri, till skillnad från bankerna? Säkerligen Ofcom, i samarbete med Informationskommissionärens kontor, borde insistera på skärpta säkerhetskontroller inom dessa företag.

Bristen på framsteg inom dessa företag är häpnadsväckande. De bör nu aktivt strama processer och riktlinjer för hur man upptäcker eventuellt bedräglig verksamhet. De bör utbilda callcenter, online och på plats shopparpersonal bättre på att erkänna tecknen på eventuellt bedräglig verksamhet, som när någon potentiellt kan vara förkroppsligar en kund. De ska bara skicka SIM till den registrerade kontohavarens adress. De borde investera i bättre säkerhetsteknik och sluta förlita sig på "säkerhetsfrågor" som lätt kan besvaras av en bedrägeri som skannar en Facebook-sida. De borde bättre utnyttja data kring kundernas enhetstyp, plats och konsumentbeteende för att proaktivt identifiera eventuella hot. Varför är de till synes oförmögna att nå dessa åtgärder?

Mobiloperatörens roll

Snarare än att lämna bankindustrin för att göra allt tungt i kriget mot cyberbrott, måste mobiloperatörerna intensifiera sitt spel och spela sin roll för att bekämpa mobiltelefonbaserad brottslighet. De måste arbeta i samarbete med bankerna, National Crime Agency, National Cyber ​​Security Center, Ofcom och ICO för att mildra risker. De får inte vara rädda för GDPR och dela uppgifter på lämpligt sätt. Det är trots allt inte i deras intresse att göra allt de kan för att förhindra bedrägeri? Att göra historiska kunddata tillgängliga för att söka efter bankens bedrägeribekämpningslösningar skulle till exempel göra en stor skillnad.

Om du är offer för SIM swap bedrägeri, ta det inte ner. Utöva dina rättigheter enligt GDPR för att skaffa data från din mobiloperatör genom att skicka dem en ämnesåtkomstförfrågan för att upptäcka vad de vet om händelsen - de kommer ofta ha mer information än de släpper på. Acceptera inte din bank och försök att inte återbetala dig - kontakta medborgarens råd och klaga till FCA om du måste.

Vi har alla en roll att spela för att bekämpa cyberbrott - och ingen organisation eller bransch bör tillåtas att begrava sitt huvud i sanden och låtsas att det inte har något att göra med dem. Fram till dess föreslår jag att du pratar med din mobiloperatör och kräver att de ändrar de säkerhetsfrågor som de frågar dig till de som är mer komplicerade för en bedrägeri att få, och kräver att ett nytt SIM-kort bara skickas till din hemadress. Dessa åtgärder är inte perfekta, men mobiloperatörerna måste göra mer för att skydda sina kunder mot bedrägeri.

Vince Warrington, grundare av Skyddande intelligens

  • Vi har också markerat det bästa antivirusprogrammet