Seleccionar página

Una de las piezas clave de nuestras identidades digitales, nos guste o no, es nuestro número de teléfono móvil. Es probable que lo use de una forma u otra en un inicio de sesión de autenticación de dos factores (no debería). La cuestión es que, como se ha demostrado varias veces, pueden ser secuestrados fácilmente en unos pocos pasos por actores maliciosos que llaman a los representantes de servicio al cliente de los operadores, muchos de los cuales son muy comprensivos para ayudar a los usuarios a salir de lo que supuestamente es una situación estresante. Entonces, ¿qué tan fácil es robar el número de teléfono de alguien en una red prepaga? Los investigadores de la Universidad de Princeton lo dicen extremadamente en un borrador de un libro blanco publicado recientemente.

Kevin Lee, Ben Kaiser, Jonathan Mayer y Arvind Narayanan del Centro de Tecnología de la Información de la escuela realizaron una serie de ataques simulados el año pasado utilizando cuentas prepagas en AT&T, T-Mobile, Verizon, Tracfone y US Mobile. Como las redes de prepago no requieren verificación de crédito para que los clientes se registren, los investigadores podrían ampliar fácilmente su experimento.

ANDROIDPOLICE VÍDEO DEL DÍA

El modelo de amenaza asumía que el atacante solo conocería el nombre y el número de teléfono de la víctima y que secuestraría el número comprando una tarjeta SIM y solicitando al operador que cambiara la cuenta de la víctima a esa SIM. Esto requeriría que el atacante autentique su identidad proporcionando la información correcta en respuesta a los desafíos de seguridad. Por lo tanto, para los propósitos del ataque, los investigadores consideraron algunos desafíos para ser seguro: un PIN de cuenta o contraseña o un código de un solo uso enviado por correo electrónico o SMS si puede desviar el tráfico de SMS de alguien, ¿por qué robaría su número? ¿en primer lugar?

Los métodos en verde significan desafíos de autenticación segura en un ataque de intercambio de SIM teórico. Los métodos en rojo se pueden omitir utilizando los datos disponibles. Los métodos en amarillo se pueden omitir mediante la manipulación del atacante.

Cada operador utilizó una variedad de desafíos para autenticar al atacante. Muchos de ellos, como la calle o la dirección de correo electrónico, la fecha de nacimiento, los últimos cuatro dígitos de una tarjeta de crédito, IMEI o ICCID, se consideraron fáciles de superar si uno sabe qué archivo de registros públicos o agregador de datos buscar. Se pueden superar otros desafíos solo con el conocimiento del número de la víctima: para la fecha del último pago, el atacante podría recargar fácilmente la cuenta sin pasar por ningún desafío de seguridad, o; para la última llamada saliente, el atacante podría marcar el número de la víctima y solicitar una devolución de llamada ya sea haciéndose pasar por una entidad familiar o por confusión.

Los académicos descubrieron en diez intentos en cada operador que pudieron secuestrar con éxito números cada vez en AT&T, T-Mobile y Verizon. Es preocupante que, a pesar de que tuvieron menos éxito con Tracfone (seis veces) y US Mobile (3 veces), en cada uno de esos casos, el representante del servicio ayudó al atacante a recordar respuestas a preguntas de seguridad como "¿cuál es el nombre de su primera mascota?" ?" y, aunque el atacante no pudo responder a ninguna de ellas correctamente, autenticó el intercambio de SIM. Además, los representantes dieron otros datos de la cuenta sin autenticar al atacante.

Se recomienda a los operadores que confíen más en las contraseñas de un solo uso, incluso como una forma de iniciar una llamada de servicio. El documento también recomienda a las empresas que realicen un seguimiento de los clientes en caso de intentos fallidos de autenticación y desaconseja que cualquier servicio que utilice la autenticación multifactor acepte métodos basados ??en números de teléfono, como SMS. Ah, y probablemente debería verificar su configuración de seguridad en todas sus cuentas en línea y asegurarse de eliminar la autenticación por SMS donde pueda.

El grupo comercial de la industria celular, CTIA, fue notificado de los hallazgos del grupo en julio. En enero, T-Mobile les dijo a los investigadores que había dejado de preguntar por las últimas llamadas salientes después de revisar el informe.

Fuente: issms2fasecure.com (Borrador)

Video: