Transportørers usikre procedurer gør livet nemt for SIM-byttetrickstere

Så, har du tillid til, at du er sikret mod angribere, der forårsager kaos med autentificeringssvagheder? Tænk om igen eller overvej i det mindste nyere forskningsresultater. Fem luftfartsselskaber brugte usikre autentificeringsudfordringer - usikkerhed, som angribere kunne udnytte i uheldige SIM -bytteforsøg.

SIM-bytte er, når brugeren forsøger at bytte et SIM-kort til et andet og kontakter operatøren, så den kontaktede repræsentant kan skifte ejerens nummer til et andet kort, forklaret Daglig post .

Catalin Cimpanu i ZDNet havde en forklaring, der understregede sårbarheden ved det hele. "Et SIM-bytte er, når en angriber ringer til en mobiludbyder og narrer teleselskabets personale til at ændre et offers telefonnummer til et angriberstyret SIM-kort."

Princeton University-undersøgelsen er "An Empirical Study of Wireless Carrier Authentication for SIM Swaps", og den er skrevet af forskere ved Institut for Datalogi og Center for Informationsteknologipolitik i Princeton.

I et scenarie, en angriber kunne gå videre og nulstille en adgangskode, få adgang til e-mail-indbakker, bankportaler eller kryptovalutahandelssystemer.

TechSpot rapporterede, at "Forskerne tilmeldte sig 50 forudbetalte konti på Verizon, AT&T, T Mobil, Amerikansk mobil, og Tracfone, og brugte det meste af 2019 på at lede efter måder, hvorpå de kunne narre callcenteroperatører til at knytte deres telefonnumre til et nyt SIM-kort."

I deres papir, forskerne tegnede ligeledes et dystert billede af SIM-bytteangreb. Disse "tillader angribere at opsnappe opkald og beskeder, udgive sig for at være ofre, og udføre denial-of-service (DoS) angreb. De er blevet udbredt til at hacke ind på sociale mediekonti, stjæle kryptovalutaer, og bryde ind på bankkonti. Denne sårbarhed er alvorlig og almindeligt kendt. "

Fem store amerikanske luftfartsselskaber—AT&T, T Mobil, Tracfone, US Mobile og Verizon Wireless – blev diskuteret. Forskerne ønskede at bestemme autentificeringsprotokoller.

Her er hvad forfatterne skrev i deres abstrakt:

"Vi fandt ud af, at alle fem udbydere brugte usikre autentificeringsudfordringer, som let kunne undergraves af angribere. Vi fandt også ud af, at angribere generelt kun behøvede at målrette mod de mest sårbare autentificeringsudfordringer, fordi resten kunne omgås."

Det Daglig post artiklen var nyttig til at give eksempler på:I SIM-bytteforsøg, adskillige havde succes ved at fortælle repræsentanter, at de havde glemt svarene på sikkerhedsspørgsmålene. Også, forskerne hævdede, at grunden til, at de ikke kunne besvare spørgsmål om ting som deres fødselsdato og -sted, sagde Daglig post , var, at de må have begået en fejl, da de oprettede kontoen.

Scanning af selve papiret, det er let at se, hvorfor forskerne var bekymrede over vellykket SIM-bytning.

"I vores succesfulde SIM-bytte, vi var i stand til at autentificere os selv med transportøren ved at bestå højst én godkendelsesordning." Med én udbyder, ved hjælp af opkaldslog-bekræftelse, forskerne fik lov til at bytte SIM-kort, "når vi oplyste to nyligt kaldte numre, på trods af at vi ikke klarede alle tidligere udfordringer, såsom pinkoden."

ZDNet bemærkede, at "forskergruppen redigerede navnene på de 17 sårbare tjenester fra deres forskning for at forhindre SIM -swappere i at fokusere på disse websteder for fremtidige angreb."

(Forfatterne havde forklaret, at "Vi har også evalueret godkendelsespolitikkerne for over 140 onlinetjenester, der tilbyder telefonbaseret godkendelse for at bestemme, hvordan de står op over for en angriber, der har kompromitteret en brugers telefonnummer via et SIM-swap. Vores vigtigste konstatering er, at 17 websteder på tværs af forskellige brancher har implementeret godkendelsespolitikker, der ville gøre det muligt for en hacker at kompromittere en konto fuldt ud med blot et SIM-swap."

Hvilke råd havde forfatterne? De fremsatte en række anbefalinger. "Transportører bør stoppe usikre metoder til kundegodkendelse, " skrev de. Udfasning af usikre metoder var en del af løsningen. En anden anbefaling var at "give bedre træning til kundesupportrepræsentanter." de bør "udvikle foranstaltninger til at uddanne kunder om disse ændringer for at reducere overgangsfriktion."

Forfatterne sagde, at de identificerede svage autentificeringsordninger og mangelfulde politikker hos fem amerikanske mobilselskaber fra det forudbetalte marked. "Vi viste, at disse fejl muliggør ligefremme SIM-bytteangreb. Vi håber, at vores anbefalinger tjener som et nyttigt udgangspunkt for ændringer i virksomhedens politik med hensyn til brugergodkendelse."

Hvilket råd havde forfattere, der kiggede på teknologi? Adrian Potoroaca ind TechSpot vægtet ind:"Den åbenlyse konklusion er at holde sig væk fra at bruge SMS som en form for to-faktor autentificering, og i stedet bruge en autentificeringsapp. For dem af jer, der ejer en Android-telefon, Google giver dig mulighed for at bruge din telefon som en fysisk to-faktor-godkendelsesnøgle, hvilket er den sikreste metode der findes."

© 2020 Science X Network