Ερευνητές του Πανεπιστημίου του Princeton δημοσίευσαν μια έκθεση, η οποία αναφέρει ότι πέντε μεγάλες αμερικανικές εταιρείες τηλεπικοινωνιών είναι ευάλωτες σε SIM swapping επιθέσεις.
Κατά τις SIM swapping επιθέσεις, οι επιτιθέμενοι καλούν μια εταιρεία τηλεπικοινωνιών, εξαπατούν το προσωπικό και το πείθουν να αλλάξει τον αριθμό του θύματος, έτσι ώστε να συνδεθεί με μια κάρτα SIM που ελέγχεται από τους ίδιους (τους επιτιθέμενους).
Αυτό επιτρέπει την επαναφορά κωδικών πρόσβασης και την απόκτηση πρόσβασης σε προσωπικούς λογαριασμούς του θύματος (email, inbox, e-banking portals, cryptocurrency συστήματα κλπ).
Οι ερευνητές του Princeton διεξήγαγαν την έρευνά τους επί ένα χρόνο. Κατά τη διάρκεια αυτού του διαστήματος, εξέτασαν πέντε μεγάλες εταιρείες τηλεπικοινωνιών των ΗΠΑ. Συγκεκριμένα ήθελαν να δουν αν θα μπορούσαν να εξαπατήσουν τους υπαλλήλους του τηλεφωνικού κέντρου και να τους κάνουν να αλλάξουν τον αριθμό τηλεφώνου ενός χρήστη σε άλλη SIM, χωρίς να δώσουν τα σωστά στοιχεία και credentials.
Σύμφωνα με την έρευνα, οι δημοφιλείς εταιρείες AT & T, T-Mobile, Tracfone, US Mobile και Verizon Wireless χρησιμοποιούν διαδικασίες που οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν για να πραγματοποιήσουν SIM swapping επιθέσεις.
Οι ερευνητές εξέτασαν, επίσης, 140 ηλεκτρονικές υπηρεσίες και websites, για να δουν ποια από αυτά θα μπορούσαν να εκμεταλλευτούν οι κακόβουλοι hackers για να παραβιάσουν τους λογαριασμούς χρηστών. Τα 17 από τα 140 websites ήταν όντως ευάλωτα σε αυτό το είδος επίθεσης.
Έρευνα
Για την έρευνά τους, οι ερευνητές συνεργάστηκαν με τις πέντε εταιρείες τηλεπικοινωνιών (υποτίθεται σαν πελάτες) και προσπάθησαν να χρησιμοποιούν τις κάρτες SIM (10 από την κάθε εταιρεία) και να πραγματοποιούν κλήσεις, προκειμένου να δημιουργήσουν ένα ρεαλιστικό ιστορικό κλήσεων.
Αργότερα, οι ερευνητές κάλεσαν στα κέντρα εξυπηρέτησης πελατών των εταιρειών και ζήτησαν αλλαγή κάρτας SIM, παρέχοντας (εσκεμμένα) λανθασμένα στοιχεία σχετικά με το PIN και τον κάτοχο του λογαριασμού.
Σύμφωνα με τις διαδικασίες που προβλέπουν οι εταιρείες, αν κάποιος δεν δώσει σωστά τα παραπάνω στοιχεία (PIN και στοιχεία του κατόχου του λογαριασμού), θα πρέπει να δώσει λεπτομέρειες σχετικά με τις δύο τελευταίες κλήσεις που πραγματοποίησε.
Η ερευνητική ομάδα λέει ότι ένας επιτιθέμενος θα μπορούσε να ξεγελάσει ένα θύμα και να το κάνει να τηλεφωνήσει σε συγκεκριμένους αριθμούς πριν κάνει την SIM swapping επίθεση, προκειμένου να έχει τα στοιχεία για τις τελευταίες κλήσεις. Για παράδειγμα, θα μπορούσε να πει στο θύμα:”κερδίσατε ένα βραβείο, καλέστε εδώ. Συγγνώμη, λάθος αριθμός, καλέστε εδώ”. Έτσι έχει τα στοιχεία για τις δύο τελευταίες κλήσεις (αν το θύμα πέσει στην παγίδα).
Οι ερευνητές του Princeton δήλωσαν ότι χρησιμοποίησαν αυτό το κόλπο και κατάφεραν να εξαπατήσουν και τους πέντε αμερικανικές εταιρείες.
Στο τέλος, οι ερευνητές ενημέρωσαν τις εταιρείες για τα ζητήματα ασφαλείας, αλλά μέχρι πριν λίγες μέρες που δημοσιεύτηκε η έκθεση, οι τέσσερις από τους πέντε παρόχους εξακολουθούσαν να χρησιμοποιούν τις ίδιες διαδικασίες. Μόνο η T-Mobile άλλαξε τακτική μετά την έρευνα.
Υπηρεσίες και websites
Όσον αφορά στις ηλεκτρονικές υπηρεσίες και τα websites (δίκτυα κοινωνικών μέσων, πάροχοι ηλεκτρονικού ταχυδρομείου, websites, cryptocurrency sites και πολλά άλλα), οι ερευνητές εξέτασαν τις διαδικασίες επαλήθευσης ταυτότητας που χρησιμοποιούσαν.
Από τη στιγμή που οι ερευνητές είχαν πραγματοποιήσει τη SIM swapping επίθεση και είχαν υπό τον έλεγχό τους τον αριθμό του θύματος, μπορούσαν να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων σε 17 από αυτά τα sites.
Η διαδικασία ανάκτησης λογαριασμού γι΄αυτά τα sites βασιζόταν αποκλειστικά σε επαλήθευση μέσω SMS. Από τη στιγμή που οι ερευνητές (ή οι επιτιθέμενοι) ελέγχουν τον αριθμό το θύματος, ελέγχουν και τα SMS. Οπότε μπορούν να αποκτήσουν πρόσβαση στους άλλους λογαριασμούς.
Περισσότερες λεπτομέρειες παρέχονται στην εργασία με τίτλο: “An Empirical Study of Wireless Carrier Authentication for SIM Swaps“.
