Σας έχει τύχει να λάβετε SMS χωρίς να γνωρίζετε από πού προέρχεται; Εταιρείες που εμπιστεύεστε ενδέχεται να έχουν πωλήσει σε χάκερς τα μηνύματά σας, τα οποία θα μπορούσαν να περιλαμβάνουν προσωπικά κι ευαίσθητα δεδομένα, σύμφωνα με έκθεση του Motherboard (VICE). Xάκερς χρησιμοποιούν υπηρεσίες διαχείρισης μηνυμάτων κειμένου, που προορίζονται για επιχειρήσεις, για να ανακατευθύνουν SMS που προορίζονται για θύματα στα συστήματά τους. Η αμέλεια των εταιρειών τηλεπικοινωνιών είναι υπεύθυνη για τέτοιες επιθέσεις. Έτσι, οι χάκερς αποκτούν πρόσβαση σε two-factor codes ή login links που αποστέλλονται μέσω SMS.
Μερικές φορές, οι εταιρείες που παρέχουν τέτοιες υπηρεσίες δεν στέλνουν μήνυμα στον αριθμό που ανακατευθύνεται, είτε για να ζητήσουν άδεια είτε για να ενημερώσουν τον ιδιοκτήτη ότι τα μηνύματά του μεταφέρονται σε κάποιον άλλο. Χρησιμοποιώντας αυτές τις υπηρεσίες, οι επιτιθέμενοι μπορούν όχι μόνο να παρακολουθήσουν τα εισερχόμενα SMS ενός χρήστη, αλλά και να απαντήσουν.
Διαβάστες επίσης: Χάκερς προσπαθούν να κλέψουν πληροφορίες για το 5G από εταιρείες τηλεπικοινωνιών
Ο δημοσιογράφος του Motherboard Joseph Cox πραγματοποίησε ένα τεστ για αυτήν τη θεωρία, ενώ ο χάκερ που απέκτησε πρόσβαση στα SMS του πλήρωσε μόνο 16$. Συγκεκριμένα, ο Cox ανέφερε λεπτομερώς πώς ένας white hat χάκερ (υπάλληλος στον προμηθευτή ασφαλείας “Okey Systems”) μπόρεσε να ανακατευθύνει όλα τα SMS του και στη συνέχεια να παραβιάσει τους διαδικτυακούς του λογαριασμούς που βασίζονται σε SMS για έλεγχο ταυτότητας. Αυτή η μέθοδος εξαπάτησε την T-Mobile να ανακατευθύνει τα SMS του Cox, με τρόπο που να μην ήταν άμεσα εμφανής σε έναν ανυποψίαστο χρήστη. Ο χάκερ χρησιμοποίησε μια υπηρεσία από μια εταιρεία που ονομάζεται Sakari για να ανακατευθύνει τα μηνύματα του Cox σε εκείνον. Όταν επικοινώνησε με άλλες εταιρείες που παρέχουν υπηρεσίες ανακατεύθυνσης SMS, κάποιες από αυτές ανέφεραν ότι έχουν ξαναδεί τέτοια επίθεση στο παρελθόν.
Σύμφωνα με πληροφορίες, η συγκεκριμένη εταιρεία που χρησιμοποιούσε το Motherboard έχει διορθώσει το exploit. Ωστόσο, υπάρχουν και πολλά άλλα exploits σαν αυτό. Όταν το “The Verge” ρώτησε γιατί αυτός ο τύπος επίθεσης είναι ακόμη δυνατός, η AT&T και η Verizon τού είπαν να επικοινωνήσει με την CTIA, εμπορική ένωση που εκπροσωπεί τη βιομηχανία ασύρματων επικοινωνιών στις ΗΠΑ. Η CTIA ανέφερε στο Motherboard ότι «δεν είχε καμία ένδειξη για κακόβουλη δραστηριότητα που ενδεχομένως να αποτελεί απειλή, ούτε φαίνεται να έχουν επηρεαστεί καταναλωτές».
Δείτε ακόμη: Top encrypted apps ανταλλαγής μηνυμάτων: Όλα όσα πρέπει να ξέρετε!
Οι χάκερς έχουν βρει πολλούς τρόπους να εκμεταλλεύονται τα SMS και τα cellular συστήματα για να κλέβουν μηνύματα χρηστών. Μέθοδοι όπως το SIM swapping και οι επιθέσεις SS7 υφίστανται στο τοπίο των απειλών εδώ και κάποια χρόνια, ενώ έχουν χρησιμοποιηθεί ακόμη και σε στόχους υψηλού προφίλ. Ωστόσο, στην περίπτωση του SIM swapping, είναι πολύ εύκολο να καταλάβετε ότι δέχεστε επίθεση: το τηλέφωνό σας θα αποσυνδεθεί εντελώς από το δίκτυο κινητής τηλεφωνίας. Όμως, στην ανακατεύθυνση SMS, μπορεί να χρειαστείτε ώρα για συνειδητοποιήσετε ότι κάποιος άλλος λαμβάνει τα μηνύματά σας – περισσότερη ώρα από εκείνη που χρειάζονται οι επιτιθέμενοι για να παραβιάσουν τους λογαριασμούς σας.
Πρόταση: T-Mobile: Οι πελάτες της εταιρείας δέχτηκαν SIM swapping επιθέσεις!
Η βασική ανησυχία που προκαλούν οι SMS επιθέσεις είναι οι επιπτώσεις που θα μπορούσαν να έχουν για την ασφάλεια των άλλων λογαριασμών των χρηστών. Εάν ένας εισβολέας μπορεί να λάβει έναν σύνδεσμο επαναφοράς κωδικού πρόσβασης ή έναν κωδικό που έχει σταλεί στον αριθμό τηλεφώνου ενός χρήστη, τότε θα έχει πρόσβαση σε αυτόν και θα μπορεί να παραβιάσει τον λογαριασμό του. Μερικές φορές τα μηνύματα κειμένου χρησιμοποιούνται επίσης για την αποστολή login links, όπως βρήκε το Motherboard με τα Postmates, WhatsApp και Bumble.
Αυτό το περιστατικό μάς υπενθυμίζει επίσης ότι τα SMS πρέπει να αποφεύγονται για οτιδήποτε σχετίζεται με την ασφάλεια, εάν είναι δυνατόν. Για έλεγχο ταυτότητας δύο παραγόντων (2FA), είναι καλύτερα να χρησιμοποιήσετε μια εφαρμογή όπως το Google Authenticator ή το Authy. Εξακολουθούν να υπάρχουν υπηρεσίες και εταιρείες που χρησιμοποιούν μόνο μηνύματα κειμένου ως δεύτερο παράγοντα – αυτό παρατηρείται κυρίως στον τραπεζικό κλάδο.
