握住电话
一些美国最大的移动运营商仍然无法保护其客户免受所谓的“ SIM-SWAP攻击”的侵害,因为探讨这种现象的新研究概述了罪犯控制受害者电话号码的容易性。
Sim-Swap攻击或“模拟式插话”是一种帐户接管欺诈,攻击者冒充受害者劫持了他们的电话号码。
手机号码通常用作两因素身份验证(2FA)或检索丢失的Web帐户密码的形式,SIMS-SWAP攻击为犯罪分子访问受害者的电子邮件和银行帐户铺平了道路beplay体育能用吗加密货币钱包,社交媒体等。
野外发生的SIM-S-swap攻击的越来越多的报告包括损失超过100,000美元的技术工程师犯罪分子将其SIM卡移植到另一台设备并耗尽了他的Coinbase帐户后。
尽管有明显的SIM-S-SWAP攻击危险,但一项新的研究表明,移动运营商对保护客户免受这种新兴威胁的影响不足。
认识模拟人生
在里面研究(PDF)研究人员于1月10日出版,概述了他们如何成功绕过运营商的身份验证挑战,并将其推定的受害者的移动服务转移到其他模拟范围内。
他们的策略每次都在打电话给AT&T,T-Mobile和Verizon(分别为10倍)。
此外,通过对145个网站的基于电话的身份验证政策进行反向工程,普林斯顿大学的学者还发现,攻击者可以轻松地使用这些被盗的移动身份来违反敏感的在线帐户。beplay体育能用吗
例如,17个站点允许基于SMS的多因素身份验证(MFA)和密码恢复,可能会使帐户容易受到妥协的影响。
收集电话
研究人员在研究过程中说,他们的模拟努力在2019年5月至2019年7月之间的50个预付费载体中的39次呼叫中取得了成功,而不会欺骗呼叫者ID,部署任何特殊的社会工程策略或升级管理请求。
他们声称他们目前的模拟人生有故障,他们扮演了攻击者的角色,他们只知道受害者的姓名和手机号码,并且可以诱使受害者拨打选定的号码。
通过发送带有呼叫号码的SMS网络钓鱼消息,要求呼叫者最近拨号的数字作为身份验证形式,或者在短暂的呼叫后挂断电话,以邀请好奇心驱动的呼叫回声。
学者甚至记录了四个实例,工作人员接受了来电,攻击者可以通过简单地打电话给受害者足够长的时间来接听电话来绕过。
该研究中第二大最绕过的身份验证方法是查询移动帐户的最新交易,研究人员指出,可以通过以名义数量为受害者的帐户充值(只有美国移动设备),这是所研究的五个运营商中的美国移动设备。
研究人员说,来自AT&T,TracFone和US Mobile的员工在授权之前也泄漏了敏感的个人信息,AT&T代表允许多次猜测,并删除提示以帮助呼叫者。
连锁效应
在一个数据集从twofactorauth.org研究人员发现,145个网站中有83个建议或规定的不安全身份验证配置 - 其中beplay体育能用吗14个以SMS作为其唯一的MFA选项。
但是,研究中被归类为“不安全”的方法包括SIM和设备序列号,部分是基于被恶意应用程序入侵的风险 - 这可以使攻击者能够在不使用SIM-kacking的情况下泄露帐户。
被认为是不安全的方法包括易于猜测的安全问题,例如“您母亲的娘家姓?”以及付款卡信息和个人信息(例如日期或出生地点),在数据聚合器上很容易找到,以及其他来源。
研究人员还确定了10个网站,这些网站的建议有效地否定了使用不安全方法作beplay体育能用吗为后备替代方案的建议。
同时,在相对不安全的基于SMS的2FA中,通过提供其他身份验证目的的电话号码在相对不安全的基于SMS的2FA中自动招募用户自动招募用户,从而破坏了具有安全意识的客beplay体育能用吗户的努力。
包括eBaybeplay体育能用吗和WhatsApp在内的七个网站提供了一步SMS的一次性密码登录,研究人员指出,该网站在通过运营商网络发送时可免受路由攻击。
SIMS-S-S-CHAP保护措施
研究人员建议网站至少实施一个安全的MFA选项,并逐步使用基于Sbeplay体育能用吗MS的MFA来支持Authenticator应用程序和电子邮件密码。
同时,鉴于模拟式绑架的严重性和SIM卡交换的比较稀有性,载体被敦促将安全性优先于便利性。
报告写道:“合法的SIM交换请求很少,仅在用户的SIM卡损坏或丢失时才发生,当用户获取与其SIM不兼容的新手机时,或者在其他极少数情况下。”
“这些请求可能会变得更加不常见,因为现在用户在切换设备之前等待更长的时间。因此,承运人应开始逐步淘汰不安全的身份验证方法,并制定措施,以教育客户有关这些变化以减少过渡摩擦的方法。”
