Zelfs met aanzienlijke veiligheidsmaatregelen, Twitter-topman Jack Dorsey werd het slachtoffer van een gênant compromis toen aanvallers de controle over zijn account op het platform overnamen door zijn telefoonnummer te kapen.

Dorsey werd het laatste doelwit van zogenaamde "SIM-swap"-fraude waarmee een fraudeur een mobiele provider kan misleiden om een ​​nummer over te dragen, waardoor mensen mogelijk niet alleen de controle over sociale media verliezen, maar maar bankrekeningen en andere gevoelige informatie.

Dit type aanval richt zich op een zwakte in "tweefactorauthenticatie" via sms om de toegang tot een account te valideren, wat de laatste jaren een populaire inbraakmethode is geworden.

Twitter zei vrijdag dat het account werd hersteld na een korte tijd waarin de aanvallers een reeks aanstootgevende tweets plaatsten.

Maar Ori Eisen, oprichter van het in Arizona gevestigde beveiligingsbedrijf Trusona, die gespecialiseerd is in authenticatie zonder wachtwoorden, zei dat de snelle oplossing niet moet worden gezien als een antwoord op het brede probleem van SIM-swapfraude.

"Het probleem is niet voorbij, "Eisen zei, opmerkend dat dit soort aanvallen zijn gebruikt om andere spraakmakende sociale media-accounts over te nemen en voor verschillende soorten frauderegelingen.

Eisen zei dat het niet duidelijk is hoeveel mensen op deze manier worden aangevallen, maar dat geautomatiseerde technologie miljarden oproepen kan veroorzaken die mensen ertoe verleiden informatie of wachtwoorden op te geven.

Van telefoon wisselen, of fraude?

Sommige analisten zeggen dat hackers manieren hebben gevonden om gemakkelijk genoeg informatie te krijgen om een ​​telecomprovider ertoe te brengen een nummer over te zetten naar het account van een fraudeur. vooral na hacks van grote databases die resulteren in persoonlijke gegevens die op het zogenaamde "dark web" worden verkocht.

"Sms-berichten van mobiele accounts kunnen worden gekaapt door geavanceerde hardwaretechnieken, maar ook door zogenaamde 'social engineering' - een mobiele provider overtuigen om uw account naar een andere te migreren, ongeautoriseerde telefoon, " zei R. David Edelman, een voormalig adviseur van het Witte Huis die aan het hoofd staat van een onderzoekscentrum voor cyberbeveiliging van het Massachusetts Institute of Technology.

"Het kost maar een paar minuten verwarring om kattenkwaad uit te halen zoals Dorsey ervoer."

Duizenden van deze aanvallen zijn gemeld in landen waar mobiele betalingen gebruikelijk zijn, onder meer in Brazilië, Mozambique, Indië en Spanje.

Onderzoekers van het beveiligingsbedrijf Kaspersky zeggen dat beveiligingssystemen van veel mobiele operators "zwak zijn en klanten blootstellen aan sim-swap-aanvallen", vooral als de aanvallers informatie zoals geboortedata en andere gegevens kunnen verzamelen.

In een recente blogpost, Kaspersky-onderzoekers Fabio Assolini en Andre Tenreiro zeiden dat sommige gevallen het gevolg zijn van cybercriminelen die corrupte werknemers van mobiele providers betalen - voor slechts $ 10 tot $ 15 per slachtoffer.

"De belangstelling voor dergelijke aanvallen is zo groot onder cybercriminelen dat sommigen van hen besloten het als een dienst aan anderen te verkopen, ’ schreven de onderzoekers.

In Brazilië, sommige criminelen hebben WhatsApp-accounts van slachtoffers overgenomen, gebruiken om de vrienden van de persoon te vragen om "dringende betaling, ' schreven Assolini en Tenreiro.

'Rijp' voor fraude

"Dit is een vrij rijpe weg voor fraude, " zei Joseph Hall, technoloog bij het Center for Democracy &Technology in Washington.

Hall zei dat sommige providers kunstmatige intelligentie gebruiken om de legitieme simkaartvervangingen te scheiden van fraude, maar dat dit niet overal is toegepast.

"Ik zou de providers de schuld geven van het feit dat ze geen robuustere manieren hebben om gebruikers te authenticeren, " hij voegde toe, terwijl ook Twitter wordt opgeroepen om betere waarborgen te bieden.

Een vervalste tweet van de president of een andere prominente persoon kan leiden tot "verwoestende gevolgen, zoals een duik in de financiële markten, zei Hall.

"Dit soort dingen wordt moeilijk tegen te gaan, want zelfs nadat de informatie naar buiten komt dat het een hoax is, mensen geloven het misschien niet, " hij zei.

De Dorsey-zaak, Hall zei, wijst op de behoefte aan betere vormen van authenticatie, vooral voor grote online platforms als Facebook en Twitter waar berichten impact kunnen hebben.

Dit kan een fysieke sleutel zijn die wordt aangesloten op een apparaat of een op software gebaseerd systeem zoals Google Authenticator, Hall merkte op.

Eisen zei dat paradoxaal genoeg, de drang naar langere en complexere wachtwoorden heeft geleid tot een groter gebruik van onveilige sms-berichten voor authenticatie.

"De beveiligers moeten accepteren dat wat vroeger werkte, nu niet meer werkt. " hij zei.

"We moeten op zoek naar oplossingen die niet zo gemakkelijk worden uitgebuit door slechteriken en die gemakkelijk door mensen kunnen worden overgenomen."

© 2019 AFP