| 13 янв 2020 г. — 4:51 PT
Тревожное исследование, проведенное в Принстоне, показывает, что пять крупнейших американских операторов связи не способны должным образом защитить своих клиентов от так называемых атак SIM-swap.
Им удалось убедить операторов перевыпустить SIM-карты с номерами телефонов без успешного ответа хотя бы на один из стандартных вопросов безопасности. Как только номер телефона перевыпущен на SIM-карту, находящуюся во владении злоумышленника, он может сбросить пароли даже на учетных записях, защищенных двухфакторной аутентификацией (2FA)…
В исследовании Принстона установлено, что операторы разрешали перевыпуск, даже если злоумышленник неоднократно давал неверные ответы на вопросы безопасности, призванные подтвердить, что он является законным владельцем учетной записи.
Мы изучили типы механизмов аутентификации, используемых для таких запросов у 5 предоплатных операторов США — AT&T, T-Mobile, Tracfone, US Mobile и Verizon Wireless — оформив 50 предоплатных учетных записей (по 10 у каждого оператора), а затем позвонив с целью запросить перевыпуск SIM-карты для каждой учетной записи.
Наше ключевое открытие заключается в том, что на момент сбора данных все 5 операторов использовали небезопасные проверки подлинности, которые злоумышленники могли легко обойти. Мы также обнаружили, что, как правило, звонящим требовалось успешно ответить только на одну проверку для аутентификации, даже если они провалили многочисленные предыдущие проверки.
Использованный метод был невероятно прост: звонящий утверждал, что забыл ответ на основной вопрос безопасности, а затем заявлял, что причина, по которой он не может ответить на вопросы о дате и месте рождения, заключается в том, что он, вероятно, совершил ошибку при создании учетной записи.
Невероятно, но представители службы поддержки клиентов затем позволяли им аутентифицироваться, просто назвав два последних набранных номера телефона. Как отмечается в исследовании, было бы довольно просто убедить кого-то позвонить на неизвестный номер, просто оставив голосовые сообщения или отправив текстовые сообщения. Три оператора даже иногда принимали *входящие* звонки в качестве аутентификации, что означало, что злоумышленнику не нужно было делать ничего, кроме как позвонить на телефон жертвы с одноразового телефона.
После завершения смены SIM-карты многие онлайн-сервисы позволяют сбросить забытый пароль, отправив ссылку для сброса по SMS. Это сообщение затем получит злоумышленник, который сбросит пароль и получит контроль над учетной записью.
[Подборка] 17 веб-сайтов из различных отраслей внедрили политики аутентификации, которые позволили бы злоумышленнику полностью скомпрометировать учетную запись с помощью одной только смены SIM-карты.
Исследование также показало, что все операторы использовали слабые проверки безопасности. Например, одной из них была последняя оплата по счету, которую злоумышленник мог обойти.
Злоумышленник мог приобрести карту пополнения счета в розничном магазине, внести пополнение на счет жертвы, а затем запросить смену SIM-карты, используя известное пополнение в качестве аутентификации.
Простота, с которой могут быть осуществлены атаки SIM-swap, подчеркивает слабость SMS-сообщений как формы 2FA. Всегда используйте приложение для аутентификации, если вам предложат выбор.
Via Engadget. Изображение: Shutterstock.