令人担忧的测试表明,美国运营商无法保护你免受SIM-swap攻击

原标题:令人担忧的测试表明,美国运营商无法保护你免受SIM-swap攻击

普林斯顿大学(Princeton)进行的一项令人担忧的测试显示,美国五大运营商未能妥善保护客户免受所谓的“SIM-swap”攻击。

他们能够说服运营商分配电话号码给新的模拟市民,而不成功地回答任何标准的安全问题。一旦一个电话号码被攻击者重新分配到一个SIM卡上,他们甚至可以重置密码,即使账户受到双因素身份验证(2FA)的保护……

普林斯顿大学的研究发现,即使攻击者多次在安全问题上给出错误答案,以确保他们是合法的账户所有者,运营商也会允许重新分配。

我们研究了美国5家预付费运营商(AT&T、T-Mobile、Tracfone、US Mobile和Verizon Wireless)针对此类请求的认证机制类型,方法是注册50个预付费账户(每家运营商10个),然后在每个账户上要求更换SIM卡。

我们的关键发现是,在我们收集数据时,所有5家运营商都使用了不安全的认证挑战,很容易被攻击者破坏。我们还发现,一般来说,调用者只需成功地响应一个挑战就可以进行身份验证,即使他们之前已经失败了许多次挑战。

使用的方法非常简单:调用者声称已经忘记的主要安全问题的答案,然后继续声称的原因他们不能回答诸如他们的出生日期和地点是他们必须建立帐户时犯了一个错误。

令人难以置信的是,客户服务代表随后允许他们通过说出最近拨打的两个电话号码来进行身份验证。正如研究报告所指出的,要说服某人拨打一个未知号码是相当简单的,只需留下语音邮件或发送短信即可。三家运营商有时甚至接受来电作为身份验证,这意味着攻击者只需要从燃烧器电话拨打受害者的电话。

一旦SIM卡更换完成,许多在线服务将允许用户通过短信发送重置链接来重置忘记的密码。然后该消息将被发送给攻击者,攻击者将重置密码并获得对该帐户的控制权。

来自不同行业的17个网站已经实施了身份验证政策,使攻击者能够仅通过SIM卡交换就完全攻破一个账户。

研究还发现,所有运营商都使用了弱安全挑战。例如,一个是帐户上的最后一次付款,攻击者可以破坏它。

攻击者可以在零售店购买充值卡,在受害者的账户上提交充值,然后使用已知的充值作为身份验证请求SIM交换。

SIM-swap攻击的易用性突显了文本消息作为一种2FA形式的弱点。如果有选择,一定要使用认证应用程序。返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
免费获取
今日搜狐热点
今日推荐