运营商不安全的程序让SIM卡交换骗子的生活变得容易
那么,您是否有信心,您是安全的攻击谁破坏认证的弱点?再想想,或者至少考虑一下最近的研究结果。五家运营商使用了不安全的身份验证挑战-攻击者可以在恶意的SIM交换尝试中利用的不安全性。
每日邮报解释说,SIM交换是指用户试图将一个SIM换成另一个SIM,并与运营商联系,以便被联系的代表可以将所有者的号码切换到另一张卡上。
ZDNet中的CatalinCimpanu有一个解释,强调了这一切的脆弱性。“SIM交换是指攻击者打电话给移动提供商,欺骗电信公司的工作人员,将受害者的电话号码改为攻击者控制的SIM卡。”
普林斯顿大学的研究报告是“对SIM交换的无线载波认证的实证研究”,由普林斯顿计算机科学和信息技术政策中心的研究人员撰写。
在一个场景中,攻击者可以继续重置密码,访问电子邮件收件箱、银行门户或加密货币交易系统。
TechSpot报告说,“研究人员在Verizon、AT&;T、T-Mobile、美国移动和Tracfone上注册了50个预付费账户,并在2019年的大部分时间里寻找能够欺骗呼叫中心运营商的方法,将他们的电话号码附加到新的SIMS上。”
在他们的论文中,研究人员同样描绘了SIM交换攻击的可怕画面。这些“允许攻击者拦截呼叫和消息,模拟受害者,并执行拒绝服务(DoS)攻击。它们被广泛用于侵入社交媒体账户、窃取加密货币和闯入银行账户。这种脆弱性是众所周知的严重问题”。
讨论了美国五大运营商——AT&;T、T-Mobile、Tracfone、美国移动和Verizon Wireless。研究人员想确定认证协议。
以下是作者在摘要中写道:
“我们发现,所有五家运营商都使用了不安全的认证挑战,很容易被攻击者颠覆。我们还发现,攻击者通常只需要针对最脆弱的身份验证挑战,因为其余的可能被绕过。”
《每日邮报》的文章有助于提供一些案例:在SIM交换尝试中,许多尝试都成功地告诉代表们,他们忘记了安全问题的答案。此外,《每日邮报》说,研究人员声称,他们无法回答有关出生日期和地点等问题的原因是,他们在建立账户时一定犯了错误。
扫描论文本身,很容易看出为什么研究人员担心成功的SIM交换。
“在我们成功的SIM互换中,我们最多只通过一个认证方案,就能通过运营商认证自己。”有了一个提供商,使用呼叫日志验证,研究人员被允许使用SIM-swap,”一旦我们提供了两个最近拨打的号码,尽管我们以前的所有挑战都失败了,例如PIN。
ZDNet指出,”研究小组从其研究中编辑了17个易受攻击服务的名称,以防止SIM交换器将重点放在这些网站上,以备今后进行攻击。
(作者解释说:“我们还评估了140多个提供基于电话的认证的在线服务的认证策略,以确定它们如何对抗通过SIM交换泄露用户电话号码的攻击者。我们的关键发现是,17个不同行业的网站已经实施了认证政策,使攻击者能够通过SIM交换完全损害一个帐户。
作者有什么建议?他们提出了一些建议。他们写道:“运营商应该停止不安全的客户认证方法。逐步淘汰不安全的方法是解决办法的一部分。另一项建议是“向客户支助代表提供更好的培训”。此外,他们还应该“制定措施,教育客户了解这些变化,以减少过渡摩擦。”
作者说,他们从预付费市场上发现了美国五家移动运营商薄弱的认证计划和有缺陷的政策。“我们表明,这些缺陷使得SIM交换攻击变得直截了当。我们希望我们的建议能成为公司在用户认证方面政策改变的有益起点。”
技术观察作家有什么建议?Adrian Potoroaca在TechSpot中称:“显而易见的结论是远离使用SMS作为双因素身份验证的形式,而是使用身份验证应用程序。对于那些拥有Android手机的人来说,谷歌允许你使用你的手机作为物理双因素认证密钥,这是最安全的方法。”