in

LoveLove GeekyGeeky

Исследование-атаки Sim-карт делают двухфакторную аутентификацию через смартфоны устаревшей

Исследование-атаки Sim-карт делают двухфакторную аутентификацию через смартфоны устаревшей

В своем блоге исследователи безопасности заявили, что многие мобильные операторы не задают сложных вопросов безопасности, чтобы убедиться, что звонящий является законным пользователем мобильного телефона.

Они указали на недавнее исследование в Принстоне, где исследователи предприняли около 50 попыток в пяти североамериканских предоплаченных телекоммуникационных компаниях, чтобы увидеть, могут ли они успешно перенести украденный номер (свой собственный) на SIM-карту.

Эксперимент показал, что в большинстве случаев субъект угрозы должен правильно ответить только на один вопрос, когда его спрашивает представитель службы поддержки клиентов, сбросив пароль учетной записи и перенеся номер.

“Мы также обнаружили, что в целом абонентам необходимо было успешно ответить только на один вызов, чтобы пройти аутентификацию, даже если они не справились с многочисленными предыдущими вызовами. Внутри каждого перевозчика процедуры были в целом последовательными, хотя в девяти случаях в двух перевозчиках [представители службы поддержки клиентов] CSR либо не аутентифицировали вызывающего абонента, либо слили информацию об учетной записи до аутентификации”, — говорится в отчете.

Имея в своем распоряжении номер мобильного телефона, хакер может затем осуществить атаку на банковский счет жертвы и сбросить пароли на скомпрометированных счетах.

Исследователи из PhishLabs указали на одну атаку, которая привела к тому, что жертва опустошила свой счет Coinbase, который стоил около 100 000 долларов США (77 000 фунтов стерлингов) в криптовалюте.

Они добавили, что целевые организации могут снизить угрозу атак, используя методы 2FA, которые не могут быть использованы удаленно.

“В отличие от телефонного номера на основе 2FA, аутентификация приложения или устройства на основе 2FA требует от пользователя физического владения токеном и помогает устранить риск того, что мобильные операторы попадут в ловушку фишеров, чьи навыки социальной инженерии находятся на высоте”,-говорят исследователи. «Мобильные операторы также могут уменьшить количество атак подкачки SIM-карт, требуя дополнительных уровней аутентификации, таких как пин-коды для удаленных служб.”

Мартин Джартелиус, генеральный директор компании Outpost24, сказал SC Media UK, что при использовании SMS-сообщений в качестве основы для аутентификации вы инвестируете доверие в поставщика услуг.

“Если вы хотите снизить эти риски, используйте другой второй фактор, такой как аппаратные токены или программное обеспечение для проверки подлинности, например Microsoft или Google. Обратите внимание, что предложение нескольких вариантов двухфакторной аутентификации, таких как настройка использования приложения-аутентификатора и телефонного номера, снижает уровень безопасности до того, какой вариант является наименее безопасным, поскольку он будет нацелен на злоумышленников”, — сказал он.

Дэвид Ричардсон, старший директор по управлению продуктами компании Lookout, сказал, что пользователи должны убедиться, что их мобильные учетные записи имеют хорошую безопасность, такую как PIN-коды или дополнительные вопросы безопасности.

“Если это возможно, избегайте использования SMS-сообщений для двухфакторной аутентификации – существует целый ряд приложений аутентификации, которые предоставляют подобную услугу. Несмотря на то, что SMS-сообщения уязвимы, лучше использовать их для 2FA, чем вообще ничего не использовать. Однако лучше всего использовать инструменты МИД, не основанные на SMS», — сказал он.

darknetstats
Author: darknetstats

Наставник Росса Ульбрихта 'Variety Jones' признал себя виновным в федеральном суде Манхэттена

Наставник Росса Ульбрихта ‘Variety Jones’ признал себя виновным в федеральном суде Манхэттена

Биткойны - все, что о нем стоит знать

Биткойны — все, что о нем стоит знать