Des chercheurs de Princeton découvrent que certains opérateurs aideront les criminels à voler votre carte SIM

Des chercheurs de l'Université de Princeton se demandaient si la messagerie texte SMS était une méthode d'authentification sécurisée à utiliser comme un facteur dans une configuration d'authentification à deux facteurs (2FA). La réponse s'est avérée être un non catégorique, d'autant plus que l'équipe a commencé à attaquer les forfaits prépayés sur les plus grands opérateurs de téléphonie mobile.

Si un attaquant peut prendre le contrôle d'un numéro de téléphone en transférant le compte d'une victime sur la carte SIM de l'attaquant, l'attaquant peut alors détourner le processus de vérification qui utilise SMS en recevant les messages texte d'authentification à la place de la victime. Dans dix tentatives sur dix pour voler des numéros de clients prépayés sur AT&T, Verizon et T-Mobile, les chercheurs ont pu transférer le compte sur leur propre carte SIM. Les tentatives sur Tracfone et US Mobile ont été moins réussies, mais ces opérateurs n'étaient pas complètement sécurisés.

Notre service VPN préféré est plus abordable que jamais

Dans certains cas, les chercheurs ont appelé pour essayer de voler l'identité d'un utilisateur et le représentant du service client les a guidés vers les bonnes réponses de vérification d'identité, ou a simplement donné à l'attaquant l'accès même après avoir deviné incorrectement. Les chercheurs ont constaté une grande incohérence, des échecs occasionnels de vérifier complètement l'identité, et généralement une faiblesse suffisante dans les politiques de sécurité pour recommander d'éviter les SMS comme méthode d'authentification par mot de passe. Depuis que l'étude a été révélée aux opérateurs l'année dernière, T-Mobile a déclaré avoir mis à jour ses méthodes de vérification afin d'éviter des contrôles moins sécurisés.

Le rapport suggère que les transporteurs abandonnent toutes les méthodes malsaines et non sécurisées actuellement utilisées et passent à des méthodes sécurisées comme un mot de passe / PIN de compte, ou au moins un code à usage unique envoyé directement à l'utilisateur par SMS ou e-mail. De nombreuses formes d'identification actuelles, comme l'adresse municipale, la date de naissance et certaines informations de carte de crédit, peuvent être trouvées par le biais de recherches dans les dossiers publics. Les informations d'identification, telles que la date du dernier paiement de la victime ou les numéros de téléphone des derniers appelants, peuvent être manipulées ou usurpées pour tromper les représentants. Il est également recommandé aux sites Web de cesser d'utiliser SMS dans le cadre d'un schéma d'authentification multifacteur.

Authentification à deux facteurs: tout ce que vous devez savoir

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.

Source link

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close
Close