Dus, u er zeker van bent dat u veilig bent voor aanvallers die schade aanrichten met authenticatiezwakheden? Denk nog eens goed na of overweeg in ieder geval recente onderzoeksresultaten. Vijf providers gebruikten onveilige authenticatie-uitdagingen - onzekerheid die aanvallers konden gebruiken bij ondeugende sim-swappogingen.

Bij het wisselen van simkaart probeert de gebruiker de ene simkaart in te wisselen voor een andere en neemt hij contact op met de koerier zodat de vertegenwoordiger met wie contact is opgenomen het nummer van de eigenaar kan overzetten naar een andere kaart, uitgelegd Dagelijkse mail .

Catalin Cimpanu in ZDNet had een verklaring die de kwetsbaarheid van dit alles onderstreepte. "Een SIM-swap is wanneer een aanvaller een mobiele provider belt en het personeel van de telco misleidt om het telefoonnummer van een slachtoffer te veranderen in een door een aanvaller bestuurde simkaart."

De studie van Princeton University is "An Empirical Study of Wireless Carrier Authentication for SIM Swaps" en is geschreven door onderzoekers van het Department of Computer Science en Center for Information Technology Policy in Princeton.

In een scenario, een aanvaller kan doorgaan en een wachtwoord opnieuw instellen, toegang krijgen tot e-mailinboxen, bankportalen of handelssystemen voor cryptovaluta.

TechSpot meldde dat "de onderzoekers zich aanmeldden voor 50 prepaid-accounts op Verizon, AT&T, T-Mobile, VS mobiel, en Tracfone, en besteedde het grootste deel van 2019 aan het zoeken naar manieren om callcenteroperators te misleiden om hun telefoonnummers aan een nieuwe simkaart te koppelen."

In hun krant de onderzoekers schetsten eveneens een grimmig beeld van SIM-swap-aanvallen. Deze "laten aanvallers toe om oproepen en berichten te onderscheppen, nabootsen van slachtoffers, en het uitvoeren van denial-of-service (DoS)-aanvallen. Ze zijn op grote schaal gebruikt om sociale media-accounts te hacken, stelen cryptocurrencies, en inbreken op bankrekeningen. Deze kwetsbaarheid is ernstig en algemeen bekend."

Vijf grote Amerikaanse luchtvaartmaatschappijen:AT&T, T-Mobile, Tracfone, US Mobile en Verizon Wireless werden besproken. De onderzoekers wilden authenticatieprotocollen bepalen.

Dit is wat de auteurs in hun samenvatting schreven:

"We ontdekten dat alle vijf providers onveilige authenticatie-uitdagingen gebruikten die gemakkelijk door aanvallers konden worden ondermijnd. We ontdekten ook dat aanvallers over het algemeen alleen de meest kwetsbare authenticatie-uitdagingen hoefden aan te pakken, omdat de rest kan worden omzeild."

De Dagelijkse mail artikel was nuttig bij het geven van voorbeelden:bij sim-swappogingen, velen waren succesvol door vertegenwoordigers te vertellen dat ze de antwoorden op de veiligheidsvragen waren vergeten. Ook, de onderzoekers beweerden dat de reden dat ze geen vragen konden beantwoorden over zaken als hun geboortedatum en -plaats, zei Dagelijkse mail , was dat ze een fout moeten hebben gemaakt bij het opzetten van het account.

Het papier zelf scannen, het is gemakkelijk in te zien waarom de onderzoekers zich zorgen maakten over succesvolle sim-swapping.

"In onze succesvolle sim-swaps, we waren in staat om ons te authenticeren bij de vervoerder door ten hoogste één authenticatieschema door te geven." Met één provider, met behulp van oproeplogverificatie, de onderzoekers mochten sim-swappen "zodra we twee recent gekozen nummers hadden opgegeven, ondanks dat we alle eerdere uitdagingen niet hebben gehaald, zoals de pincode."

ZDNet merkte op dat "het onderzoeksteam de namen van de 17 kwetsbare services uit hun onderzoek heeft geredigeerd om te voorkomen dat SIM-swappers zich op die sites concentreren voor toekomstige aanvallen."

(De auteurs hadden uitgelegd:"We hebben ook het authenticatiebeleid geëvalueerd van meer dan 140 online services die telefonische authenticatie bieden om te bepalen hoe ze het opnemen tegen een aanvaller die het telefoonnummer van een gebruiker heeft gecompromitteerd via een simswap. Onze belangrijkste bevinding is dat 17 websites in verschillende sectoren hebben authenticatiebeleid geïmplementeerd waarmee een aanvaller een account volledig kan compromitteren met slechts een SIM-swap.")

Welk advies hadden de auteurs? Zij deden een aantal aanbevelingen. "Vervoerders moeten stoppen met onveilige methoden voor klantauthenticatie, ", schreven ze. Het uitfaseren van onveilige methoden was een deel van de oplossing. Een andere aanbeveling was om "Betere training te geven aan vertegenwoordigers van de klantenondersteuning." ze moeten "maatregelen ontwikkelen om klanten te informeren over deze veranderingen om overgangsfrictie te verminderen."

De auteurs zeiden dat ze zwakke authenticatieschema's en gebrekkig beleid identificeerden bij vijf Amerikaanse mobiele providers op de prepaidmarkt. "We hebben laten zien dat deze fouten eenvoudige sim-swap-aanvallen mogelijk maken. We hopen dat onze aanbevelingen dienen als een nuttig startpunt voor wijzigingen in het bedrijfsbeleid met betrekking tot gebruikersauthenticatie."

Welk advies hadden tech-watching-schrijvers? Adrian Potoroaca in TechSpot gewogen:"De voor de hand liggende conclusie is om weg te blijven van het gebruik van sms als een vorm van tweefactorauthenticatie, en gebruik in plaats daarvan een authenticator-app. Voor degenen onder u die een Android-telefoon hebben, Met Google kunt u uw telefoon gebruiken als een fysieke tweefactorauthenticatiesleutel, dat is ongeveer de veiligste methode die er is."

© 2020 Wetenschap X Netwerk