Laiške: Jei naudojate SMS dviejų veiksnių autentifikavimui savo internetinėse paskyrose, galbūt norėsite tai pakeisti kuo greičiau. Pasak Prinstono tyrinėtojų, penki didžiausi JAV vežėjai mažai ką saugo nuo SIM apsikeitimo atakų, todėl užpuolikai siūlo paprastą būdą iš naujo nustatyti slaptažodžius ir pasiekti slaptus duomenis ar apsimetinėti internetu.

Nors tai visada yra gera idėja kelių veiksnių autentifikavimas Internetinių paskyrų saugumas nereiškia, kad esate visiškai saugus nuo tų, kurie nori pavogti neskelbtinus asmens duomenis.

Iki tyrimas Penki didžiausių išankstinio mokėjimo operatorių JAV iš Prinstono universiteto negali apsaugoti jūsų nuo vadinamosios „SIM apsikeitimo“ atakos. Mes nagrinėjome tokio tipo klausimus Vagystė keletas laikai praeityje.

Užpuolikas dirba įtikindamas vežėją perskirstyti aukos telefono numerį į naują SIM kortelę, neatlikdamas visų standartinių saugumo klausimų, kad taptų tapatūs. Tai leidžia sukčiautojui užgrobti kieno nors sąskaitą ir naudoti dviejų veiksnių autentifikavimą norint atkurti slaptažodžius svarbiose internetinėse sąskaitose, tokiose kaip el. Paštas ir banko sąskaitos.

Tyrėjai pasirašė 50 išankstinio apmokėjimo sąskaitų „Verizon“, „AT&T“, „T-Mobile“, „US Mobile“ ir „Tracfone“, o didžioji dalis 2019 m. Ieškojo būdų, kaip apgauti skambučių centro operatorius pridėti savo telefono numerius į naują SIM kortelę. Jie nustatė, kad net po daugybės nesėkmingų bandymų, kai pranešė, kad jie nesukuria jokių raudonų vėliavų, jie turėjo sėkmingai atsakyti į saugumo problemą.




Sąmoningai pateikus neteisingą PIN kodą, jų buvo paprašyta patikrinti kitą informaciją, pvz., Pašto kodus ar kitą informaciją apie tikrąjį sąskaitos savininką. Tyrėjai savo skambučių centro darbuotojams sakė, kad neprisimena, kokia standartinė procedūra šiuo metu atrodė klausianti apie paskutinius du skambučius iš jų numerių.




Tai yra silpnumas, kuris daro procesą išnaudojamu. Užpuolikai gali lengvai ką nors paskambinti konkrečiais numeriais naudodamiesi svetainėmis, kurios kažką žada. Tyrėjai taip pat atrado, kad 17 iš 140 internetinių paslaugų, naudojančių SMS dviejų veiksnių autentifikavimui, autentifikavimui nenaudojami jokie kiti metodai, todėl sukčiams dar lengviau pavogti asmens tapatybę ar pavogti aukų asmeninę informaciją.

Prinstono ekspertai pranešė vežėjams, o „T-Mobile“ anksčiau šį mėnesį jiems pasakė, kad skambučių žurnalai nebetaikomi kaip autentifikavimo būdas. Kiti, tokie kaip „Verizon“ ir „US Mobile“, aš pasakiau Jie gavo mažiau nei 1 proc. SIM kortelės keitimo užklausų telefonu ir nuolat atnaujina savo kibernetinio saugumo praktiką.




Akivaizdus rezultatas yra nenaudoti SMS kaip dviejų veiksnių autentifikavimo formos ir naudoti autentifikavimo programą. Tiems, kurie turi „Android“ telefoną, „Google“ tai padarys fizinis dviejų veiksnių autentifikavimo raktasapie saugiausią metodą.