Πέμπτη, 13 Αυγούστου, 07:19
Αρχική security Δημοφιλείς αμερικανικές εταιρείες τηλεπικοινωνιών ευάλωτες σε SIM swapping επιθέσεις

Δημοφιλείς αμερικανικές εταιρείες τηλεπικοινωνιών ευάλωτες σε SIM swapping επιθέσεις

SIM swappingΕρευνητές του Πανεπιστημίου του Princeton δημοσίευσαν μια έκθεση, η οποία αναφέρει ότι πέντε μεγάλες αμερικανικές εταιρείες τηλεπικοινωνιών είναι ευάλωτες σε SIM swapping επιθέσεις.

Κατά τις SIM swapping επιθέσεις, οι επιτιθέμενοι καλούν μια εταιρεία τηλεπικοινωνιών, εξαπατούν το προσωπικό και το πείθουν να αλλάξει τον αριθμό του θύματος, έτσι ώστε να συνδεθεί με μια κάρτα SIM που ελέγχεται από τους ίδιους (τους επιτιθέμενους).

Αυτό επιτρέπει την επαναφορά κωδικών πρόσβασης και την απόκτηση πρόσβασης σε προσωπικούς λογαριασμούς του θύματος (email, inbox, e-banking portals, cryptocurrency συστήματα κλπ).

Οι ερευνητές του Princeton διεξήγαγαν την έρευνά τους επί ένα χρόνο. Κατά τη διάρκεια αυτού του διαστήματος, εξέτασαν πέντε μεγάλες εταιρείες τηλεπικοινωνιών των ΗΠΑ. Συγκεκριμένα ήθελαν να δουν αν θα μπορούσαν να εξαπατήσουν τους υπαλλήλους του τηλεφωνικού κέντρου και να τους κάνουν να αλλάξουν τον αριθμό τηλεφώνου ενός χρήστη σε άλλη SIM, χωρίς να δώσουν τα σωστά στοιχεία και credentials.

Σύμφωνα με την έρευνα, οι δημοφιλείς εταιρείες AT & T, T-Mobile, Tracfone, US Mobile και Verizon Wireless χρησιμοποιούν διαδικασίες που οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν για να πραγματοποιήσουν SIM swapping επιθέσεις.

Οι ερευνητές εξέτασαν, επίσης, 140 ηλεκτρονικές υπηρεσίες και websites, για να δουν ποια από αυτά θα μπορούσαν να εκμεταλλευτούν οι κακόβουλοι hackers για να παραβιάσουν τους λογαριασμούς χρηστών. Τα 17 από τα 140 websites ήταν όντως ευάλωτα σε αυτό το είδος επίθεσης.

Έρευνα

Για την έρευνά τους, οι ερευνητές συνεργάστηκαν με τις πέντε εταιρείες τηλεπικοινωνιών (υποτίθεται σαν πελάτες) και προσπάθησαν να χρησιμοποιούν τις κάρτες SIM (10 από την κάθε εταιρεία) και να πραγματοποιούν κλήσεις, προκειμένου να δημιουργήσουν ένα ρεαλιστικό ιστορικό κλήσεων.

Αργότερα, οι ερευνητές κάλεσαν στα κέντρα εξυπηρέτησης πελατών των εταιρειών και ζήτησαν αλλαγή κάρτας SIM, παρέχοντας (εσκεμμένα) λανθασμένα στοιχεία σχετικά με το PIN και τον κάτοχο του λογαριασμού.

Σύμφωνα με τις διαδικασίες που προβλέπουν οι εταιρείες, αν κάποιος δεν δώσει σωστά τα παραπάνω στοιχεία (PIN και στοιχεία του κατόχου του λογαριασμού), θα πρέπει να δώσει λεπτομέρειες σχετικά με τις δύο τελευταίες κλήσεις που πραγματοποίησε.

Η ερευνητική ομάδα λέει ότι ένας επιτιθέμενος θα μπορούσε να ξεγελάσει ένα θύμα και να το κάνει να τηλεφωνήσει σε συγκεκριμένους αριθμούς πριν κάνει την SIM swapping επίθεση, προκειμένου να έχει τα στοιχεία για τις τελευταίες κλήσεις. Για παράδειγμα, θα μπορούσε να  πει στο θύμα:”κερδίσατε ένα βραβείο, καλέστε εδώ. Συγγνώμη, λάθος αριθμός, καλέστε εδώ”. Έτσι έχει τα στοιχεία για τις δύο τελευταίες κλήσεις (αν το θύμα πέσει στην παγίδα).

Οι ερευνητές του Princeton δήλωσαν ότι χρησιμοποίησαν αυτό το κόλπο και κατάφεραν να εξαπατήσουν και τους πέντε αμερικανικές εταιρείες.

Στο τέλος, οι ερευνητές ενημέρωσαν τις εταιρείες για τα ζητήματα ασφαλείας, αλλά μέχρι πριν λίγες μέρες που δημοσιεύτηκε η έκθεση, οι τέσσερις από τους πέντε παρόχους εξακολουθούσαν να χρησιμοποιούν τις ίδιες διαδικασίες. Μόνο η T-Mobile άλλαξε τακτική μετά την έρευνα.

Υπηρεσίες και websites

Όσον αφορά στις ηλεκτρονικές υπηρεσίες και τα websites (δίκτυα κοινωνικών μέσων, πάροχοι ηλεκτρονικού ταχυδρομείου, websites, cryptocurrency sites και πολλά άλλα), οι ερευνητές εξέτασαν τις διαδικασίες επαλήθευσης ταυτότητας που χρησιμοποιούσαν.

Από τη στιγμή που οι ερευνητές είχαν πραγματοποιήσει τη SIM swapping επίθεση και είχαν υπό τον έλεγχό τους τον αριθμό του θύματος, μπορούσαν να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων σε 17 από αυτά τα sites.

Η διαδικασία ανάκτησης λογαριασμού γι΄αυτά τα sites βασιζόταν αποκλειστικά σε επαλήθευση μέσω SMS. Από τη στιγμή που οι ερευνητές (ή οι επιτιθέμενοι) ελέγχουν τον αριθμό το θύματος, ελέγχουν και τα SMS. Οπότε μπορούν να αποκτήσουν πρόσβαση στους άλλους λογαριασμούς.

Περισσότερες λεπτομέρειες παρέχονται στην εργασία με τίτλο: An Empirical Study of Wireless Carrier Authentication for SIM Swaps“.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Windows εφαρμογές που πρέπει να διαγράψετε για μια καλύτερη εμπειρία!

Κάποιες εφαρμογές των Windows είναι απαραίτητες για να λειτουργεί σωστά ένας υπολογιστής, ενώ άλλες, πολλές φορές προκαλούν προβλήματα. Πρόκειται για εφαρμογές που...

Πώς να δοκιμάσετε τα νέα data-saving video settings του Chrome 86;

Αν υπάρχει κάποιο ζήτημα όσον αφορά την επερχόμενη ενημέρωση του Chrome 86, αυτό φαίνεται να είναι η αποτελεσματικότητα. Οι χρήστες αναμένουν μια...

Netflix: Πώς να αλλάξετε την γλώσσα σε προφίλ, υπότιτλους και ήχο

Το Netflix δεν είναι απλώς μια υπηρεσία streaming αγγλικής γλώσσας με περιεχόμενο από όλο τον κόσμο. Μπορείτε εύκολα να παρακολουθήσετε ταινίες και...

Πώς να μπλοκάρετε spam κλήσεις και μηνύματα σε Android;

Το Android μπορεί να σας βοηθήσει να μπλοκάρετε και να ξεφορτωθείτε τις ενοχλητικές spam κλήσεις. Αν μπλοκάρετε...

Πώς θα μετατρέψετε μεγάλα Twitter threads σε αναγνώσιμη ανάρτηση;

Εάν είστε τακτικός χρήστης του Twitter, είναι πιθανό να έχετε συναντήσει μεγάλα Twitter threads που βοηθούν το μήνυμα να ξεπεράσει το όριο...

Θέλετε Chromebook; Διαλέξτε ανάμεσα στα 4 καλύτερα!

Ένα καλό Chromebook δεν έχει μεγάλη διαφορά από τα κανονικά laptop, ενώ τα καλύτερα από αυτά μπορεί είναι πιο ωραία και από...

UniConverter: Μετατρέψτε βίντεο σε 1000 μορφές 30 φορές γρηγορότερα!

Εάν είστε δημιουργός περιεχομένου βίντεο, σίγουρα θα έχει χρειαστεί πολλές φορές να μετατρέψετε ένα βίντεο σε διάφορες μορφές, χωρίς ωστόσο να αλλοιωθεί...

Πώς να πείσετε ηλικιωμένους ανθρώπους να χρησιμοποιούν τεχνολογία;

Η τεχνολογία μπορεί συχνά να φαίνεται τρομακτική και δύσκολη σε ηλικιωμένους ανθρώπους που δεν είναι εξοικειωμένοι με...

Πώς να κάνετε streaming περιεχομένου σε 4K Ultra HD στο Netflix;

Κατά τη διάρκεια της καραντίνας, το Netflix έχει βοηθήσει ιδιαίτερα τους ανθρώπους να περάσουν τις βαρετές ώρες στο σπίτι. Η υπηρεσία έχει...

iPhone: Πρόσθεση και αφαίρεση Widget από την αρχική οθόνη

Η Apple έφερε τα widget στην Αρχική οθόνη του iPhone με iOS 14. Πρόκειται για μια εξελιγμένη μορφή των widget από την...