Att tappa kontrollen över sin smartphone från bedrägeriattacker med "SIM-byte" kan ha potentiellt förödande konsekvenser
Även med betydande säkerhetsåtgärder på plats, Twitters vd Jack Dorsey blev offer för en pinsam kompromiss när angripare tog kontroll över hans konto på plattformen genom att kapa hans telefonnummer.
Dorsey blev det senaste målet för så kallat "SIM-byte"-bedrägeri som gör det möjligt för en bedragare att lura en mobiloperatör att överföra ett nummer – vilket potentiellt kan få människor att tappa kontrollen inte bara över sociala medier, men bankkonton och annan känslig information.
Denna typ av attack riktar sig mot en svaghet i "tvåfaktorsautentisering" via textmeddelande för att validera åtkomst till ett konto, som har blivit en populär inbrottsmetod de senaste åren.
Twitter sa i fredags att kontot återställdes efter en kort stund då angriparna postade en rad kränkande tweets.
Men Ori Eisen, grundare av det Arizona-baserade säkerhetsföretaget Trusona, som specialiserat sig på autentisering utan lösenord, sa att den snabba lösningen inte bör ses som ett svar på det breda problemet med SIM-bytesbedrägerier.
"Problemet är inte över, " sa Eisen, noterar att den här typen av attacker har använts för att ta över andra högprofilerade sociala mediekonton och för olika typer av bedrägerier.
Eisen sa att det inte är klart hur många människor som attackeras på detta sätt men att automatiserad teknik kan skapa miljarder samtal som lockar människor att ge upp information eller lösenord.
Byter telefon, eller bedrägeri?
Vissa analytiker säger att hackare har hittat sätt att enkelt få tillräckligt med information för att få en teleoperatör att överföra ett nummer till en bedragares konto, speciellt efter hack av stora databaser som resulterar i att personuppgifter säljs på den så kallade "mörka webben".
Twitters vd Jack Dorsey blev offer för ett "SIM-byte"-hack som gjorde att en angripare kunde posta stötande tweets som verkade komma från honom
"Mobilkontons textmeddelanden kan kapas av sofistikerade hårdvarutekniker, men också genom så kallad "social ingenjörskonst" – att övertyga en mobilleverantör att migrera ditt konto till ett annat, obehörig telefon, " sa R. David Edelman, en före detta rådgivare i Vita huset som leder ett forskningscenter för cybersäkerhet vid Massachusetts Institute of Technology.
"Det tar bara några minuter av förvirring att göra bus som Dorsey upplevt."
Tusentals av dessa attacker har rapporterats i länder där mobila betalningar är vanliga, inklusive i Brasilien, Moçambique, Indien och Spanien.
Forskare vid säkerhetsföretaget Kaspersky säger att säkerhetssystemen från många mobiloperatörer "är svaga och lämnar kunder öppna för SIM-bytesattacker", särskilt om angriparna kan samla information som födelsedatum och annan data.
I ett blogginlägg nyligen, Kaspersky-forskarna Fabio Assolini och Andre Tenreiro sa att vissa fall kommer från cyberbrottslingar som betalar korrupta anställda hos mobiloperatörer – för så lite som $10 till $15 per offer.
"Intresset för sådana attacker är så stort bland cyberkriminella att några av dem bestämde sig för att sälja det som en tjänst till andra, " skrev forskarna.
I Brasilien, några brottslingar har tagit över offrens WhatsApp-konton, använder den för att be personens vänner om "brådskande betalning, " skrev Assolini och Tenreiro.
"Mogen" för bedrägeri
"Det här är en ganska mogen väg för bedrägerier, sade Joseph Hall, teknolog vid Center for Democracy &Technology i Washington.
En attack som tar över en användares mobiltelefon kan leda till att man förlorar kontrollen över bankkonton och sociala medier, Säkerhetsexperter säger
Hall sa att vissa operatörer använder artificiell intelligens för att skilja de legitima SIM-kortsersättningarna från bedrägerier, men att detta inte har spridits överallt.
"Jag skulle skylla på operatörerna för att de inte har mer robusta sätt att autentisera användare, " han lade till, samtidigt som man uppmanar Twitter att erbjuda bättre skydd.
En falsk tweet från presidenten eller annan framstående person kan leda till "förödande konsekvenser, "som ett dopp på finansmarknaderna, sa Hall.
"Sånt här blir svårt att motverka, för även efter att informationen kommit ut att det är en bluff, folk kanske inte tror det, " han sa.
Dorsey-fallet, Hall sa, betonar behovet av bättre former av autentisering, speciellt för stora onlineplattformar som Facebook och Twitter där meddelanden kan påverka.
Detta kan innebära en fysisk nyckel som ansluts till en enhet eller ett mjukvarubaserat system som Google Authenticator, Hall noterade.
Eisen sa att paradoxalt nog, trycket på längre och mer komplexa lösenord har lett till ökad användning av osäkra textmeddelanden för autentisering.
"Säkerhetsutövarna måste komma överens med det faktum att det som tidigare fungerade inte fungerar nu, " han sa.
"Vi måste leta efter lösningar som inte är så lätta att utnyttja av skurkar och som är lätta för människor att anta."
© 2019 AFP
