运营商不安全的程序让SIM卡交换骗子的生活变得容易
新时代,高科技越来越发达。朋友们读了很多关于科技的重要新闻。我们也应该在生活中使用很多这些高科技的东西。朋友应该注意什么?今天,我想和大家分享一条关于科技的知识。我希望你会喜欢它。
那么,你确信自己是一个破坏身份验证弱点的安全攻击者吗?再想想,或者至少考虑一下最近的研究结果。五家运营商使用了不安全的身份验证挑战——攻击者可以在恶意的SIM交换尝试中利用不安全。
《每日邮报》解释说,SIM交换是指用户试图将一个SIM卡换成另一个,并联系运营商,以便被联系的代表可以将所有者的号码切换到另一张卡上。
ZDNet中的CatalinCimpanu有一个解释,强调了这一切的脆弱性。“SIM交换指的是攻击者拨打移动提供商的电话,欺骗电信公司的工作人员,将受害者的电话号码改为攻击者控制的SIM卡。”
普林斯顿大学的研究报告是由普林斯顿计算机科学与信息技术政策中心的研究人员撰写的《SIM交换的无线载波认证实证研究》。
在一种情况下,攻击者可以继续重置密码并访问电子邮件收件箱、银行门户或加密货币交易系统。
TechSpot报道称,“研究人员在威瑞森,AT;在T、T-Mobile、美国移动和Tracfone上注册了50个预付费账户,2019年的大部分时间都在寻找欺骗呼叫中心运营商的方法,并将他们的电话号码附加到新的SIMS上。”
在他们的论文中,研究人员还描绘了一幅SIM卡交换攻击的可怕画面。这些“允许攻击者拦截呼叫和消息,冒充受害者,并执行拒绝服务(DoS)攻击。它们被广泛用于闯入社交媒体账户、窃取加密货币和闯入银行账户。这个漏洞是众所周知的严重问题”。
讨论了美国五大运营商——AT;T、T-Mobile、Tracfone、美国移动和威瑞森无线。研究人员想要确定认证协议。
以下是作者在摘要中写的内容:
“我们发现,这五家运营商都使用了不安全的身份验证挑战,很容易被攻击者颠覆。我们还发现,攻击者通常只需要解决最易受攻击的身份验证挑战,因为其他挑战可能会被绕过。”
文章《每日邮报》有助于提供一些案例:在SIM交换尝试中,很多尝试成功地告诉代表们,他们忘记了安全问题的答案。此外,《每日邮报》表示,研究人员声称,他们无法回答出生日期和地点问题的原因是,他们在设置账户时肯定犯了错误。
扫描论文本身,很容易看出为什么研究人员担心成功的SIM交换。
“在我们成功的SIM交换中,我们最多只能通过一种认证方案通过运营商进行自我认证。”有了提供商,使用通话记录认证,研究人员可以使用SIM卡交换。“有一次我们提供了两个最近拨打的号码,尽管我们之前的所有挑战都失败了,比如PIN。
ZDNet指出,“研究团队从其研究中编辑了17个易受攻击服务的名称,以防止SIM交换机专注于这些网站进行未来的攻击。
(作者解释说:“我们还评估了140多家提供基于电话的身份验证的在线服务的身份验证策略,以确定它们如何抵御通过SIM卡交换泄露用户电话号码的攻击者。我们的关键发现是,不同行业的17家网站都实施了认证策略,使得攻击者能够通过SIM卡交换完全破坏一个账户。
作者有什么建议?他们提出了一些建议。他们写道:“运营商应该停止不安全的客户认证方法。逐步淘汰不安全的方法是解决方案的一部分。另一个建议是“为客户支持代表提供更好的培训”。此外,他们应该“制定措施,教育客户了解这些变化,以减少过渡摩擦。"
作者说,他们从预付费市场发现了五家美国移动运营商薄弱的认证计划和有缺陷的政策。“我们表明,这些缺陷使得SIM交换攻击变得简单明了。我们希望我们的建议将成为公司在用户认证方面政策变化的有益起点。”
技术观察写手有什么建议?Adrian Potoroaca在TechSpot上说:“显而易见的结论是使用身份验证应用程序,而不是短信作为双因素身份验证的一种形式。对于那些拥有安卓手机的人来说,谷歌允许你将手机作为物理双因素认证密钥,这是最安全的方法。”
本文就为大家讲解到这里了。