Så, har du förtroende för att du är säker från angripare som orsakar förödelse med autentiseringssvagheter? Tänk om eller överväg åtminstone nya forskningsrön. Fem operatörer använde osäkra autentiseringsutmaningar – osäkerhet som angripare kunde utnyttja i busiga SIM-byteförsök.

SIM-byte är när användaren försöker byta ut ett SIM-kort mot ett annat och kontaktar operatören så att den kontaktade representanten kan byta ägarens nummer till ett annat kort, förklarade Daglig post .

Catalin Cimpanu in ZDNet hade en förklaring som underströk sårbarheten i det hela. "Ett SIM-byte är när en angripare ringer en mobilleverantör och lurar telebolagets personal att ändra ett offers telefonnummer till ett angriparkontrollerat SIM-kort."

Princeton University-studien är "An Empirical Study of Wireless Carrier Authentication for SIM Swaps" och den skrevs av forskare vid Institutionen för datavetenskap och Center for Information Technology Policy i Princeton.

I ett scenario, en angripare kan gå vidare och återställa ett lösenord, få tillgång till e-postkorgar, bankportaler eller handelssystem för kryptovaluta.

TechSpot rapporterade att "Forskarna registrerade sig för 50 förbetalda konton på Verizon, AT&T, T-Mobile, US Mobile, och Tracfone, och tillbringade större delen av 2019 på att leta efter sätt att lura callcenteroperatörer att koppla sina telefonnummer till ett nytt SIM-kort."

I deras tidning, forskarna målade också upp en dyster bild av SIM-bytesattacker. Dessa "tillåter angripare att avlyssna samtal och meddelanden, utger sig för att vara offer, och utföra denial-of-service (DoS)-attacker. De har använts i stor utsträckning för att hacka sig in på konton på sociala medier, stjäla kryptovalutor, och bryta in på bankkonton. Denna sårbarhet är allvarlig och allmänt känd."

Fem stora amerikanska flygbolag – AT&T, T-Mobile, Tracfone, US Mobile och Verizon Wireless – diskuterades. Forskarna ville bestämma autentiseringsprotokoll.

Här är vad författarna skrev i sitt sammandrag:

"Vi fann att alla fem operatörer använde osäkra autentiseringsutmaningar som lätt kunde undergrävas av angripare. Vi fann också att angripare i allmänhet bara behövde rikta in sig på de mest sårbara autentiseringsutmaningarna, eftersom resten kunde kringgås."

De Daglig post artikeln var till hjälp för att ge exempel:I försök till SIM-byte, många lyckades genom att berätta för representanter att de hade glömt svaren på säkerhetsfrågorna. Också, forskarna hävdade att anledningen till att de inte kunde svara på frågor om saker som deras födelsedatum och födelseort, sa Daglig post , var att de måste ha gjort ett misstag när de satte upp kontot.

Skanna själva papperet, det är lätt att se varför forskarna var oroade över framgångsrikt SIM-byte.

"I våra framgångsrika SIM-byten, vi kunde autentisera oss med operatören genom att passera högst ett autentiseringssystem." Med en leverantör, med samtalsloggverifiering, forskarna fick byta SIM-kort "när vi gav två nyligen slagna nummer, trots att vi misslyckats med alla tidigare utmaningar, såsom PIN-koden."

ZDNet noterade att "Forskarteamet tog bort namnen på de 17 sårbara tjänsterna från sin forskning för att förhindra SIM-bytare från att fokusera på dessa webbplatser för framtida attacker."

(Författarna hade förklarat att "Vi utvärderade också autentiseringspolicyerna för över 140 onlinetjänster som erbjuder telefonbaserad autentisering för att avgöra hur de står sig mot en angripare som har äventyrat en användares telefonnummer via ett SIM-byte. Vårt viktigaste fynd är att 17 webbplatser i olika branscher har implementerat autentiseringspolicyer som skulle göra det möjligt för en angripare att fullständigt kompromissa med ett konto med bara ett SIM-byte.")

Vilka råd hade författarna? De gav ett antal rekommendationer. "Operatörer bör upphöra med osäkra metoder för kundautentisering, " skrev de. Att fasa ut osäkra metoder var en del av lösningen. En annan rekommendation var att "Ge bättre utbildning till kundsupportrepresentanter." de borde "utveckla åtgärder för att utbilda kunderna om dessa förändringar för att minska övergångsfriktionen."

Författarna sa att de identifierade svaga autentiseringssystem och felaktiga policyer hos fem amerikanska mobiloperatörer från förbetalda marknaden. "Vi visade att dessa brister möjliggör enkla SIM-bytesattacker. Vi hoppas att våra rekommendationer fungerar som en användbar utgångspunkt för förändringar i företagets policy när det gäller användarautentisering."

Vilka råd hade författare som tittade på teknik? Adrian Potoroaca in TechSpot vägde in:"Den självklara slutsatsen är att hålla sig borta från att använda SMS som en form av tvåfaktorsautentisering, och använd istället en autentiseringsapp. För er som äger en Android-telefon, Google låter dig använda din telefon som en fysisk tvåfaktorsautentiseringsnyckel, vilket är den säkraste metoden som finns."

© 2020 Science X Network