Twitter CEO-hack fremhæver farerne ved SIM-swap-svindel

Selv med betydelige sikkerhedsforanstaltninger på plads, Twitter-topchef Jack Dorsey blev offer for et pinligt kompromis, da angriberne tog kontrol over hans konto på platformen ved at kapre hans telefonnummer.

Dorsey blev det seneste mål for såkaldt "SIM-swap"-svindel, som gør det muligt for en svindler at narre en mobiloperatør til at overføre et nummer - hvilket potentielt får folk til at miste kontrollen ikke kun over sociale medier, men bankkonti og andre følsomme oplysninger.

Denne type angreb retter sig mod en svaghed i "tofaktorgodkendelse" via tekstbesked for at validere adgang til en konto, som er blevet en populær indbrudsmetode de senere år.

Twitter sagde fredag, at kontoen blev gendannet efter en kort tid, hvor angriberne postede en række stødende tweets.

Men Ori Eisen, grundlægger af det Arizona-baserede sikkerhedsfirma Trusona, som specialiserer sig i autentificering uden adgangskoder, sagde, at den hurtige løsning ikke skal ses som et svar på det brede problem med SIM-byttesvindel.

"Problemet er ikke forbi, " sagde Eisen, bemærker, at disse former for angreb er blevet brugt til at overtage andre højprofilerede sociale mediekonti og til forskellige former for bedrageri.

Eisen sagde, at det ikke er klart, hvor mange mennesker der bliver angrebet på denne måde, men at automatiseret teknologi kan skabe milliarder af opkald, der lokker folk til at opgive information eller adgangskoder.

Skift telefon, eller svindel?

Nogle analytikere siger, at hackere har fundet måder til nemt at få nok information til at få et teleselskab til at overføre et nummer til en svindlers konto, især efter hacks af store databaser, som resulterer i, at personlige data sælges på det såkaldte "mørke web".

"Mobilkonti's tekstbeskeder kan blive kapret af sofistikerede hardwareteknikker, men også ved såkaldt 'social engineering' – at overbevise en mobiludbyder om at migrere din konto til en anden, uautoriseret telefon, " sagde R. David Edelman, en tidligere rådgiver i Det Hvide Hus, der leder et forskningscenter for cybersikkerhed ved Massachusetts Institute of Technology.

"Det tager kun et par minutters forvirring at lave fortræd, som Dorsey oplevede."

Tusindvis af disse angreb er blevet rapporteret i lande, hvor mobilbetalinger er almindelige, herunder i Brasilien, Mozambique, Indien og Spanien.

Forskere ved sikkerhedsfirmaet Kaspersky siger, at sikkerhedssystemer fra mange mobiloperatører "er svage og lader kunderne åbne for SIM-bytteangreb", især hvis angriberne er i stand til at indsamle oplysninger såsom fødselsdatoer og andre data.

I et nyligt blogindlæg, Kaspersky-forskere Fabio Assolini og Andre Tenreiro sagde, at nogle sager kommer fra cyberkriminelle, der betaler korrupte medarbejdere hos mobilselskaber - for så lidt som $10 til $15 pr. offer.

"Interessen for sådanne angreb er så stor blandt cyberkriminelle, at nogle af dem besluttede at sælge det som en service til andre, " skrev forskerne.

I Brasilien, nogle kriminelle har overtaget ofrenes WhatsApp-konti, bruge det til at bede personens venner om "hastebetaling, " skrev Assolini og Tenreiro.

'Moden' til svindel

"Dette er en ret moden vej til svindel, " sagde Joseph Hall, teknolog ved Center for Democracy &Technology i Washington.

Hall sagde, at nogle udbydere bruger kunstig intelligens til at adskille de lovlige SIM-kortudskiftninger fra svindel, men at dette ikke er blevet implementeret universelt.

"Jeg vil bebrejde operatørerne for ikke at have mere robuste måder at autentificere brugere på, " han tilføjede, samtidig med at vi opfordrer Twitter til at tilbyde bedre sikkerhedsforanstaltninger.

Et falsk tweet fra præsidenten eller en anden fremtrædende person kan føre til "ødelæggende konsekvenser, "såsom et dyk på de finansielle markeder, sagde Hall.

"Den slags ting bliver svære at modvirke, fordi selv efter informationen kommer frem, at det er en fup, folk tror det måske ikke, " han sagde.

Dorsey-sagen, Hall sagde, fremhæver behovet for bedre former for autentificering, især for store online platforme som Facebook og Twitter, hvor beskeder kan have indflydelse.

Dette kan involvere en fysisk nøgle, der tilsluttes en enhed eller et softwarebaseret system såsom Google Authenticator, Hall noterede sig.

Eisen sagde, at paradoksalt nok, presset på længere og mere komplekse adgangskoder har ført til større brug af usikre tekstbeskeder til godkendelse.

"Sikkerhedspraktikerne må affinde sig med, at det, der plejede at virke, ikke virker nu, " han sagde.

"Vi er nødt til at lede efter løsninger, der ikke er så let at udnytte af skurke, og som er nemme for folk at adoptere."

© 2019 AFP