Così, sei sicuro di essere al sicuro dagli aggressori che devastano i punti deboli dell'autenticazione? Ripensaci o almeno considera i risultati delle ricerche recenti. Cinque operatori hanno utilizzato sfide di autenticazione non sicure, insicurezza che gli aggressori potrebbero sfruttare nei tentativi di scambio di SIM maliziosi.

Lo scambio di SIM avviene quando l'utente tenta di scambiare una SIM con un'altra e contatta l'operatore telefonico in modo che il rappresentante contattato possa trasferire il numero del proprietario su una carta diversa, spiegato Mail giornaliera .

Catalin Cimpanu in ZDNet aveva una spiegazione che sottolineava la vulnerabilità di tutto ciò. "Una SIM swap è quando un utente malintenzionato chiama un provider di telefonia mobile e inganna il personale della società di telecomunicazioni per cambiare il numero di telefono di una vittima con una carta SIM controllata dall'aggressore".

Lo studio della Princeton University è "An Empirical Study of Wireless Carrier Authentication for SIM Swaps" ed è stato scritto da ricercatori del Department of Computer Science and Center for Information Technology Policy di Princeton.

In uno scenario, un utente malintenzionato potrebbe procedere e reimpostare una password, ottenere l'accesso alle caselle di posta elettronica, portali bancari o sistemi di trading di criptovalute.

TechSpot ha riferito che "I ricercatori hanno registrato 50 account prepagati su Verizon, AT&T, T-Mobile, Cellulare USA, e Trafone, e ha trascorso la maggior parte del 2019 alla ricerca di modi per indurre gli operatori di call center ad allegare i loro numeri di telefono a nuove SIM".

Nella loro carta, i ricercatori hanno anche dipinto un quadro cupo degli attacchi di scambio di SIM. Questi "consentono agli aggressori di intercettare chiamate e messaggi, impersonare vittime, ed eseguire attacchi denial-of-service (DoS). Sono stati ampiamente utilizzati per hackerare account di social media, rubare criptovalute, e irrompere in conti bancari. Questa vulnerabilità è grave e ampiamente nota".

Cinque principali vettori statunitensi:AT&T, T-Mobile, Trafone, Sono stati discussi US Mobile e Verizon Wireless. I ricercatori volevano determinare i protocolli di autenticazione.

Ecco cosa hanno scritto gli autori nel loro abstract:

"Abbiamo scoperto che tutti e cinque i vettori utilizzavano sfide di autenticazione non sicure che potevano essere facilmente sovvertite dagli aggressori. Abbiamo anche scoperto che gli aggressori in genere dovevano affrontare solo le sfide di autenticazione più vulnerabili, perché il resto potrebbe essere aggirato."

Il Mail giornaliera articolo è stato utile nel fornire casi specifici:nei tentativi di scambio di SIM, numerosi hanno avuto successo dicendo ai rappresentanti che avevano dimenticato le risposte alle domande di sicurezza. Anche, i ricercatori hanno affermato che il motivo per cui non potevano rispondere a domande su cose come la data e il luogo di nascita, disse Mail giornaliera , era che devono aver commesso un errore quando hanno impostato l'account.

Scansione della carta stessa, è facile capire perché i ricercatori erano preoccupati per il successo dello scambio di SIM.

"Nei nostri scambi di SIM di successo, siamo stati in grado di autenticarci con il corriere passando al massimo uno schema di autenticazione." Con un provider, utilizzando la verifica del registro delle chiamate, i ricercatori sono stati autorizzati a scambiare SIM "una volta che abbiamo fornito due numeri composti di recente, nonostante abbiamo fallito tutte le sfide precedenti, come il PIN."

ZDNet ha osservato che "Il team di ricerca ha oscurato i nomi dei 17 servizi vulnerabili dalla loro ricerca al fine di impedire agli utenti di SIM di concentrarsi su quei siti per attacchi futuri".

(Gli autori avevano spiegato che "Abbiamo anche valutato le politiche di autenticazione di oltre 140 servizi online che offrono l'autenticazione basata sul telefono per determinare come resistono a un utente malintenzionato che ha compromesso il numero di telefono di un utente tramite uno scambio di SIM. La nostra scoperta chiave è che 17 siti Web in diversi settori hanno implementato politiche di autenticazione che consentirebbero a un utente malintenzionato di compromettere completamente un account con solo uno scambio di SIM.")

Che consiglio hanno avuto gli autori? Hanno espresso una serie di raccomandazioni. "I vettori dovrebbero interrompere i metodi non sicuri di autenticazione del cliente, " hanno scritto. L'eliminazione graduale dei metodi non sicuri era parte della soluzione. Un'altra raccomandazione era quella di "Fornire una formazione migliore ai rappresentanti dell'assistenza clienti". dovrebbero "sviluppare misure per educare i clienti su questi cambiamenti per ridurre l'attrito nella transizione".

Gli autori hanno affermato di aver identificato schemi di autenticazione deboli e politiche errate presso cinque operatori mobili statunitensi del mercato prepagato. "Abbiamo dimostrato che questi difetti consentono semplici attacchi di scambio di SIM. Ci auguriamo che i nostri consigli servano come utile punto di partenza per i cambiamenti delle politiche aziendali in merito all'autenticazione degli utenti".

Che consiglio hanno avuto gli scrittori che guardano la tecnologia? Adrian Potoroaca in TechSpot soppesato:"La conclusione ovvia è di evitare l'utilizzo di SMS come forma di autenticazione a due fattori, e usa invece un'app di autenticazione. Per quelli di voi che possiedono un telefono Android, Google ti consente di utilizzare il telefono come chiave di autenticazione fisica a due fattori, che è il metodo più sicuro che ci sia."

© 2020 Scienza X Rete