Παρασκευή, 10 Απριλίου, 06:05
Αρχική security Δημοφιλείς αμερικανικές εταιρείες τηλεπικοινωνιών ευάλωτες σε SIM swapping επιθέσεις

Δημοφιλείς αμερικανικές εταιρείες τηλεπικοινωνιών ευάλωτες σε SIM swapping επιθέσεις

SIM swappingΕρευνητές του Πανεπιστημίου του Princeton δημοσίευσαν μια έκθεση, η οποία αναφέρει ότι πέντε μεγάλες αμερικανικές εταιρείες τηλεπικοινωνιών είναι ευάλωτες σε SIM swapping επιθέσεις.

Κατά τις SIM swapping επιθέσεις, οι επιτιθέμενοι καλούν μια εταιρεία τηλεπικοινωνιών, εξαπατούν το προσωπικό και το πείθουν να αλλάξει τον αριθμό του θύματος, έτσι ώστε να συνδεθεί με μια κάρτα SIM που ελέγχεται από τους ίδιους (τους επιτιθέμενους).

Αυτό επιτρέπει την επαναφορά κωδικών πρόσβασης και την απόκτηση πρόσβασης σε προσωπικούς λογαριασμούς του θύματος (email, inbox, e-banking portals, cryptocurrency συστήματα κλπ).

Οι ερευνητές του Princeton διεξήγαγαν την έρευνά τους επί ένα χρόνο. Κατά τη διάρκεια αυτού του διαστήματος, εξέτασαν πέντε μεγάλες εταιρείες τηλεπικοινωνιών των ΗΠΑ. Συγκεκριμένα ήθελαν να δουν αν θα μπορούσαν να εξαπατήσουν τους υπαλλήλους του τηλεφωνικού κέντρου και να τους κάνουν να αλλάξουν τον αριθμό τηλεφώνου ενός χρήστη σε άλλη SIM, χωρίς να δώσουν τα σωστά στοιχεία και credentials.

Σύμφωνα με την έρευνα, οι δημοφιλείς εταιρείες AT & T, T-Mobile, Tracfone, US Mobile και Verizon Wireless χρησιμοποιούν διαδικασίες που οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν για να πραγματοποιήσουν SIM swapping επιθέσεις.

Οι ερευνητές εξέτασαν, επίσης, 140 ηλεκτρονικές υπηρεσίες και websites, για να δουν ποια από αυτά θα μπορούσαν να εκμεταλλευτούν οι κακόβουλοι hackers για να παραβιάσουν τους λογαριασμούς χρηστών. Τα 17 από τα 140 websites ήταν όντως ευάλωτα σε αυτό το είδος επίθεσης.

- Advertisement -

Έρευνα

Για την έρευνά τους, οι ερευνητές συνεργάστηκαν με τις πέντε εταιρείες τηλεπικοινωνιών (υποτίθεται σαν πελάτες) και προσπάθησαν να χρησιμοποιούν τις κάρτες SIM (10 από την κάθε εταιρεία) και να πραγματοποιούν κλήσεις, προκειμένου να δημιουργήσουν ένα ρεαλιστικό ιστορικό κλήσεων.

Αργότερα, οι ερευνητές κάλεσαν στα κέντρα εξυπηρέτησης πελατών των εταιρειών και ζήτησαν αλλαγή κάρτας SIM, παρέχοντας (εσκεμμένα) λανθασμένα στοιχεία σχετικά με το PIN και τον κάτοχο του λογαριασμού.

Σύμφωνα με τις διαδικασίες που προβλέπουν οι εταιρείες, αν κάποιος δεν δώσει σωστά τα παραπάνω στοιχεία (PIN και στοιχεία του κατόχου του λογαριασμού), θα πρέπει να δώσει λεπτομέρειες σχετικά με τις δύο τελευταίες κλήσεις που πραγματοποίησε.

Η ερευνητική ομάδα λέει ότι ένας επιτιθέμενος θα μπορούσε να ξεγελάσει ένα θύμα και να το κάνει να τηλεφωνήσει σε συγκεκριμένους αριθμούς πριν κάνει την SIM swapping επίθεση, προκειμένου να έχει τα στοιχεία για τις τελευταίες κλήσεις. Για παράδειγμα, θα μπορούσε να  πει στο θύμα:”κερδίσατε ένα βραβείο, καλέστε εδώ. Συγγνώμη, λάθος αριθμός, καλέστε εδώ”. Έτσι έχει τα στοιχεία για τις δύο τελευταίες κλήσεις (αν το θύμα πέσει στην παγίδα).

Οι ερευνητές του Princeton δήλωσαν ότι χρησιμοποίησαν αυτό το κόλπο και κατάφεραν να εξαπατήσουν και τους πέντε αμερικανικές εταιρείες.

Στο τέλος, οι ερευνητές ενημέρωσαν τις εταιρείες για τα ζητήματα ασφαλείας, αλλά μέχρι πριν λίγες μέρες που δημοσιεύτηκε η έκθεση, οι τέσσερις από τους πέντε παρόχους εξακολουθούσαν να χρησιμοποιούν τις ίδιες διαδικασίες. Μόνο η T-Mobile άλλαξε τακτική μετά την έρευνα.

Υπηρεσίες και websites

Όσον αφορά στις ηλεκτρονικές υπηρεσίες και τα websites (δίκτυα κοινωνικών μέσων, πάροχοι ηλεκτρονικού ταχυδρομείου, websites, cryptocurrency sites και πολλά άλλα), οι ερευνητές εξέτασαν τις διαδικασίες επαλήθευσης ταυτότητας που χρησιμοποιούσαν.

Από τη στιγμή που οι ερευνητές είχαν πραγματοποιήσει τη SIM swapping επίθεση και είχαν υπό τον έλεγχό τους τον αριθμό του θύματος, μπορούσαν να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων σε 17 από αυτά τα sites.

Η διαδικασία ανάκτησης λογαριασμού γι΄αυτά τα sites βασιζόταν αποκλειστικά σε επαλήθευση μέσω SMS. Από τη στιγμή που οι ερευνητές (ή οι επιτιθέμενοι) ελέγχουν τον αριθμό το θύματος, ελέγχουν και τα SMS. Οπότε μπορούν να αποκτήσουν πρόσβαση στους άλλους λογαριασμούς.

Περισσότερες λεπτομέρειες παρέχονται στην εργασία με τίτλο: An Empirical Study of Wireless Carrier Authentication for SIM Swaps“.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...