Votre opérateur laissera fondamentalement tout criminel compétent détourner votre numéro de téléphone

Notre numéro de téléphone mobile est l'un des éléments clés de nos identités numériques, que cela nous plaise ou non. Vous l'utilisez probablement d'une manière ou d'une autre dans une connexion d'authentification à deux facteurs (vous ne devriez pas). La chose est, comme cela a été démontré à plusieurs reprises, ils peuvent être facilement détournés en quelques étapes faciles par des acteurs malveillants appelant les représentants du service client des transporteurs – dont beaucoup sont trop compréhensifs pour aider les utilisateurs à sortir de ce qui est censé être une situation stressante . Alors, comment est-il facile de voler le numéro de téléphone de quelqu'un sur un réseau prépayé? Les chercheurs de l'Université de Princeton le disent extrêmement dans un projet de livre blanc récemment publié.

L'année dernière, Kevin Lee, Ben Kaiser, Jonathan Mayer et Arvind Narayanan avec le Center for Information Technology de l'école ont mené une série d'attaques simulées en utilisant des comptes prépayés sur AT&T, T-Mobile, Verizon, Tracfone et US Mobile. Comme les réseaux prépayés ne nécessitent pas de vérification de crédit pour que les clients s'inscrivent, les chercheurs pourraient facilement étendre leur expérience.

Le modèle de menace supposait que l'attaquant ne connaîtrait que le nom et le numéro de téléphone de la victime et qu'il détournerait le numéro en achetant une carte SIM et en demandant au transporteur d'échanger le compte de la victime sur cette carte SIM. Cela obligerait l'attaquant à authentifier son identité en fournissant des informations correctes en réponse aux problèmes de sécurité. Ainsi, aux fins de l'attaque, les chercheurs ont estimé que certains défis étaient sécurisés: un code PIN ou un mot de passe de compte ou un code unique envoyé par e-mail ou SMS – si vous pouvez siphonner le trafic SMS de quelqu'un, pourquoi voleriez-vous son numéro en premier lieu?

Les méthodes en vert signifient des défis d'authentification sécurisée dans une attaque théorique de swap SIM. Les méthodes en rouge peuvent être contournées en utilisant les données disponibles. Les méthodes en jaune peuvent être contournées par la manipulation de l'attaquant.

Chaque transporteur a utilisé divers défis pour authentifier l'attaquant. Beaucoup d'entre eux, tels que la rue ou l'adresse e-mail, la date de naissance, les quatre derniers chiffres d'une carte de crédit, IMEI ou ICCID, ont été considérés comme faciles à surmonter si l'on sait quel fichier d'enregistrements publics ou agrégateur de données regarder. D'autres défis peuvent être passés simplement avec la connaissance du numéro de la victime: pour la date du dernier paiement, l'attaquant pourrait facilement recharger le compte sans passer par des problèmes de sécurité, ou; pour le dernier appel sortant, l'attaquant pourrait composer le numéro de la victime et provoquer un rappel soit en se faisant passer pour une entité familière, soit par confusion.

Les chercheurs ont découvert sur dix tentatives sur chaque opérateur qu'ils étaient capables de détourner avec succès des numéros à chaque fois sur AT&T, T-Mobile et Verizon. De façon inquiétante, même s'ils ont moins bien réussi avec Tracfone (six fois) et US Mobile (3 fois), dans chacun de ces cas, le représentant du service a aidé l'attaquant à rappeler les réponses aux questions de sécurité telles que “quel est le nom de votre premier animal de compagnie” ? ” et, même si l'attaquant n'a pu répondre correctement à aucune d'entre elles, il a authentifié l'échange de carte SIM. De plus, les représentants ont donné d'autres informations sur le compte sans authentifier l'agresseur.

Il est conseillé aux opérateurs de s'appuyer davantage sur des mots de passe à usage unique, notamment pour lancer un appel de service. Le document recommande également aux entreprises de suivre les clients en cas d'échec des tentatives d'authentification et décourage tout service utilisant l'authentification multifacteur d'accepter des méthodes basées sur les numéros de téléphone telles que les SMS. Oh, et vous devriez probablement vérifier vos paramètres de sécurité sur tous vos comptes en ligne et vous assurer de laisser tomber l'authentification SMS où vous le pouvez.

Le groupe commercial de l'industrie cellulaire, CTIA, a été informé des conclusions du groupe en juillet. En janvier, T-Mobile a déclaré aux chercheurs qu'il avait cessé de demander les derniers appels sortants après avoir examiné le rapport.

Source link

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close
Close