Как обезопасить свои онлайн-аккаунты от подмены SIM-карт

Опубликовано 22 April 2020

Исследователи из Принстонского университета показали, что ваши учетные записи Paypal и Venmo могут быть уязвимы.


Как обезопасить свои онлайн-аккаунты от подмены SIM-карт

DragonImags / Istock



COVID-19 заставляет многих из нас заказывать товары онлайн, и мы используем такие способы оплаты, как Paypal и Venmo, для оплаты товаров.


В январе 2020 года исследователи из Центра политики в области информационных технологий Принстонского университета опубликовали исследование, которое показало, что хакеры могут контролировать учетные записи пользователей в этих и других службах.


Проблема с многофакторной аутентификацией.


Исследователи проанализировали процедуры многофакторной аутентификации (MFA), используемые 140 онлайн-сайтами, которые включали социальные сети, поставщиков электронной почты и корпоративные решения.


Многофакторная аутентификация - это мера безопасности в сети, и она относится к методу аутентификации, который требует двух или более доказательств или факторов.

Типичные факторы включают в себя:

  • Что-то, что знает только пользователь - включает пароли, PIN-коды, комбинации и кодовые слова
  • Что-то, что есть только у пользователя - физические объекты, такие как ключи, смартфоны, смарт-карты, USB-накопители и токен-устройства
  • Пользователь - это отпечатки пальцев, сканирование ладоней, распознавание лиц, сканирование сетчатки глаза, сканирование радужной оболочки глаза и проверка голоса.

Исследователи обнаружили, что в 17 компаниях телефон с заменой SIM-карты можно было использовать для сброса пароля учетной записи. Мошенничество с подменой SIM-карты позволяет кому-то взять под контроль ваш телефон, а хакер может получить полный доступ к вашим онлайн-профилям на различных веб-сайтах.


Были затронуты такие компании, как Adobe, Amazon, AOL, Blizzard, eBay, Finnair, Gaijin Entertainment, Mailchimp, Microsoft, Online, Paypal, Snapchat, Taxact, Venmo, WordPress, Yahoo и Zoho Mail.


Исследователи пытались сообщить об уязвимости затронутым компаниям тремя способами: напрямую сообщать компании, размещать сообщения на платформах с ошибками, таких как HackerOne, и по каналам поддержки клиентов.


Adobe, Snapchat и eBay признали уязвимость и быстро исправили ее. Blizzard, Microsoft и Taxact исправили уязвимость, но не сообщили об этом исследователям.


Paypal посчитал отчет исследователей выходящим за рамки охвата и заявил, что «уязвимость отсутствует в Paypal, поскольку вы упомянули, что это проблема с операторами связи, и они должны исправить ее на своей стороне».


Три из четырех отчетов, переданных сторонним программам за вознаграждение за ошибки, были проигнорированы. Хуже того, HackerOne ограничивает тех, кто представил то, что HackerOne считает слишком большим количеством сообщений об ошибках, отправкой новых.


Пять компаний, AOL, Finnair, Mailchimp, Venmo и WordPress, вообще не ответили исследователям. *


Как кто-то может взять себе ваш телефон?


SIM означает модуль идентификации абонента, и это карта со встроенной интегральной схемой, в которой хранятся:
  • Уникальный идентификатор интегрированной платы (ICCID), который идентифицирует каждую SIM-карту на международном уровне
  • Международный идентификационный номер абонента мобильной связи (IMSI), который является уникальным идентификатором, связанным со всеми сотовыми сетями.
  • Безопасность аутентификации и шифрования информации
  • Временная информация, связанная с локальной сетью
  • Список тех сервисов, к которым у пользователя есть доступ
  • Два пароля: персональный идентификационный номер (PIN) для обычного использования и персональный код разблокировки (PUC) для разблокировки PIN.


Для всех телефонов GSM (глобальной системы мобильной связи) требуется SIM-карта. Для телефонов CDMA (с кодовым разделением каналов) только для более новых телефонов LTE (Long Term Evolution) требуется SIM-карта. SIM-карты также используются в спутниковых телефонах, умных часах и камерах.


Чтобы убедить операторов мобильной связи заменить SIM-карту, хакеры используют личную информацию, которую они получают в результате утечки данных, или информацию, которую они получают из ваших учетных записей социальных сетей, например, дату вашего рождения или девичью фамилию вашей матери.


Еще один способ, которым хакеры могут захватить ваш телефон, это заставить вас позвонить на два телефонных номера. Вы можете получить звонок или текстовое сообщение о том, что вы выиграли конкурс, и позвонить по определенному номеру, чтобы получить свой приз.


Причина этого заключается в том, что некоторые операторы сотовой связи запрашивают два недавно набранных номера, если пользователь не может вспомнить свой ПИН-код или ответы на свои секретные вопросы. Поскольку хакер узнает эти номера, доступ к SIM-карте будет предоставлен.


Те же исследователи из Принстонского университета предупредили об этой уязвимости сотовые операторы «большой пятерки» США - Verizon, AT & T, T-Mobile, Sprint и США Cellular. Из всех операторов только T-Mobile изменила использование журналов вызовов для аутентификации клиентов.


Истории тех, чьи SIM были украдены


В статье за ​​февраль 2018 года Vice сообщила о нескольких владельцах счетов, которые стали жертвами подмены SIM-карты конкретным оператором сотовой связи.


Автор, который сражался с решительным хакером в течение дня, описал свой опыт:

Сегодня утром меня предупредили о том, что кто-то пытается получить доступ к моей SIM-карте. Я сказал представителю заблокировать мою учетную запись и ничего не разрешать, если я физически не присутствую в магазине. Через 4 часа мой телефон получил сообщение «Нет доступной сети». Я знал, что хакер прошел.


[Хакер] ... притворился сотрудником T-Mobile и получил доступ к моей SIM-карте. ... Я начал получать уведомления на все мои учетные записи электронной почты, что мои пароли были изменены. Потребовалось около часа, чтобы восстановить контроль над всем, но я в панике. Я не уверен, что им удалось захватить ... [Я] в настоящее время просто сижу, уставившись на мою электронную почту и банковские счета, ожидая катастрофы.


Другой пользователь, BW, сообщил, что их оператор SIM-карты поменял свой номер, и хакер тут же подал заявку на кредитную карту, получил кредитную линию на 20 000 долларов и пошел на шоппинг. Пользователь HT описал, что 2000 долларов были списаны с ее счета в Wells Fargo через Zelle.


Другой пользователь сообщил, что потерял 2000 долларов в результате банковского перевода, и что «время, необходимое для того, чтобы мой номер был« украден »до перевода денег, составило всего 18 минут».


Пользователь MC написал:

... Я потерял в общей сложности 5 200 долларов, 1 999 долларов с одного счета, 2 500 долларов с другого и 600 долларов по кредитным картам, выкупленным за наличные. Я до сих пор не получил свой номер и провел бесчисленные часы, закрывая и открывая все свои банковские счета, заполняя (sic) полицейский отчет, имея дело с банками, компаниями-эмитентами кредитных карт и [перевозчиком]. Мне пришлось платить проценты по моей кредитной карте, так как все мои средства были заморожены с 9 января по 25 января, и я почти уверен, что получу некоторую комиссию за возврат чека, потому что я не изменил свой переводной счет для моего авто- дебет во времени.


Самое приятное, что [перевозчик] прислал мне счет и обвинил меня в том, что я прекратил обслуживание и перенес мой номер. Ты шутишь, что ли?!?!


Мой телефон взломан?


Если вы подозреваете, что ваш телефон был взломан, обратите внимание на следующее:


  • Сокращение времени работы от батареи - это может быть связано с тем, что на вашем телефоне используются мошеннические приложения, использующие его ресурсы и передающие информацию на сервер
  • Замедленная производительность - если ваш телефон часто зависает, или если определенные приложения либо сбой, либо отказываются закрывать
  • Увеличение использования данных - это может быть вызвано мошенническими приложениями, работающими в фоновом режиме и отправляющими информацию обратно на сервер
  • Звонки или текстовые сообщения на неизвестные номера - вредоносные программы могут заставлять ваш телефон звонить на номера премиум-класса
  • Увеличение количества всплывающих окон - это может включать рекламное ПО или попытки фишинга с просьбой ввести конфиденциальную информацию; в то время как вы можете закрыть всплывающее окно, нажав «X», в некоторых всплывающих окнах есть искусственная «X», которая фактически приводит вас на вредоносный сайт
  • Новые приложения устанавливаются без вашего разрешения - также, если ваш телефон часто падает, то перезагружается
  • Необычная активность в учетных записях, связанных с вашим телефоном - если вы получаете уведомления о сбросе пароля или открытии новых учетных записей.


Как избежать подмены SIM-карты


Чтобы избежать подмены SIM-карты, вы можете связать свои учетные записи в сети с номером Voice over Internet Protocol (VoIP), таким как Google Voice или Skype. Номера Google Voice не связаны с реальными SIM-картами, поэтому их сложнее взломать.


Еще один метод, который вы можете использовать, чтобы избежать кражи SIM-карты, - это добавить ПИН-код в свою учетную запись мобильного телефона.


Для AT & T:

  • Перейдите в профиль своей учетной записи, войдите в систему, затем выберите Информация для входа.
  • В разделе Беспроводной пароль выберите Управление дополнительной безопасностью.
  • Введите ваш пароль при появлении запроса.


Для Verizon:

  • Перейти на этот сайт.
  • Войдите в свою учетную запись, затем введите нужный PIN-код дважды.
  • Нажмите Отправить.


Для T-Mobile:

  • Установите ПИН-код при первом входе в учетную запись My T-Mobile.
  • Выберите Текстовые сообщения или Контрольный вопрос и следуйте инструкциям.


Для спринта:

  • Войдите в свой аккаунт.
  • Нажмите на My Sprint, затем выберите Профиль и безопасность.
  • Выберите Информация о безопасности, чтобы обновить свой PIN-код или вопросы безопасности.


В это время социального дистанцирования так же важно заботиться о здоровье своего телефона и онлайн-аккаунтов, как и о своем здоровье.



Статьи из рубрики Разработка ПО
Чайник, который стал стандартом в компьютерной графике.

Чайник, который стал стандартом в компьютерной графике. 20 April 2020
Программисты разрабатывают приложение для отслеживания контактов COVID-19 в соответствии со строгим стандартом EUR.

Программисты разрабатывают приложение для отслеживания контактов COVID-19 в соответствии со строгим стандартом EUR. 10 April 2020
Топ 10 стратегических технологических тенденций на 2020 год.

Топ 10 стратегических технологических тенденций на 2020 год. 31 March 2020
Что такое Workflow?

Что такое Workflow? 20 March 2020
Apple временно закрывает магазины и выделяет 15 миллионов долларов на помощь борьбы с коронавирусом.

Apple временно закрывает магазины и выделяет 15 миллионов долларов на помощь борьбы с коронавирусом. 14 March 2020
BUILD 2020: из-за вспышки коронавируса крупнейшее мероприятие Microsoft для разработчиков будет проводиться только в цифровом формате.

BUILD 2020: из-за вспышки коронавируса крупнейшее мероприятие Microsoft для разработчиков будет проводиться только в цифровом формате. 13 March 2020
Процесс разработки программного обеспечения: как выбрать ту модель, которая подходит именно вам

Процесс разработки программного обеспечения: как выбрать ту модель, которая подходит именно вам 06 March 2020
Apple разрешила разработчикам iOS показывать рекламу с помощью push-уведомлений.

Apple разрешила разработчикам iOS показывать рекламу с помощью push-уведомлений. 06 March 2020
Что такое гибкая разработка программного обеспечения?

Что такое гибкая разработка программного обеспечения? 01 March 2020
Теперь разработчики могут получить доступ к полезной функции «Скрыть ответы» в Twitter.

Теперь разработчики могут получить доступ к полезной функции «Скрыть ответы» в Twitter. 28 February 2020
ТОП 24 инструментов для разработки программного обеспечения в 2020 году

ТОП 24 инструментов для разработки программного обеспечения в 2020 году 20 February 2020
10 направлений развития / трендов программного обеспечения на 2020 год

10 направлений развития / трендов программного обеспечения на 2020 год 13 February 2020