Tweestapsverificatie (2FA) via SMS niet waterdicht

Gepubliceerd op 28 januari 2020 om 18:52
Tweestapsverificatie (2FA) via SMS niet waterdicht

Hoe telecom providers de deur openen voor aanvallen met SIM-swapping

Onderzoekers ontdekten slechte authenticatie technieken voor prepaid-accounts. Vijf grote Amerikaanse prepaid telecom providers - AT&T, T-Mobile, Verizon, Tracfone en US Mobile - gebruiken slechte account verificatie procedures en technieken die hun klanten open laten staan ​​voor SIM-swapping-aanvallen, volgens onderzoekers van Princeton University.

 

Aanvallers kunnen deze authenticatie procedures soms gemakkelijk ondermijnen door informatie te raden en vervolgens het account en de identiteit van een slachtoffer te kapen, volgens de nieuwe studie van de onderzoekers.

Hun rapport, "An Empirical Study of Wireless Carrier Authentication for SIM Swaps," onderzocht ook 145 websites, waaronder sociale media platforms, e-mailproviders en cryptocurrency-uitwisselingen, die telefonische authenticatie gebruiken om de identiteit van een gebruiker te identificeren. De onderzoekers ontdekten dat 17 van deze sites door een SIM-swap-aanval in gevaar konden worden gebracht, waardoor de aanvaller volledige toegang kon krijgen tot de gehackte accounts, inclusief persoonlijk identificeerbare informatie. De onderzoekers van Princeton concluderen dat de vijf telecom providers en hun klanten ondersteunend personeel slechte authenticatie procedures hebben gecreëerd waardoor de identiteit en accounts van klanten openstaan ​​voor hacking. "We ontdekten dat alle vijf providers onveilige authenticatie-uitdagingen gebruikten die gemakkelijk door aanvallers konden worden ondermijnd," schrijven de onderzoekers. "We ontdekten ook dat aanvallers over het algemeen alleen de meest kwetsbare authenticatie-uitdagingen hoefden aan te pakken, omdat de rest kon worden omzeild." De onderzoekers doen verschillende aanbevelingen voor het wijzigen van hun authenticatie methoden, waaronder meer gebruik van multifactor-authenticatie, het stoppen met het gebruik van persoonlijke gegevens om de identiteit van een klant te verifiëren en een betere training voor ondersteunend personeel.

De bedreiging van de SIM-swapping

In de afgelopen jaren is SIM-swapping een groeiende zorg geworden. De FBI heeft het probleem onder de aandacht gebracht en het Amerikaanse National Institute of Standards and Technology noemt SIM-swapping als een belangrijke bedreiging voor mobiele beveiliging.

Dit soort aanvallen kan op verschillende manieren worden uitgevoerd. Een daarvan is om de klantenservice van een telecom provider  over te halen om een ​​telefoonnummer naar een andere simkaart - een swap - te verplaatsen of naar een andere telecom provider over te dragen. In andere gevallen kunnen criminele bendes werken met een medewerker van een mobiele operator, die vervolgens beveiligingsmechanismen kan omzeilen en het nummer van een abonnee kan overdragen.

Door de telefoon van het slachtoffer te hacken, kan een aanvaller vervolgens toegang krijgen tot de online services en accounts van het slachtoffer, omdat veel providers mobiele nummers gebruiken als onderdeel van het authenticatie proces, zoals bij tweefactorauthenticatie.

Hoe een SIM-swapaanval werkt (Bron: Princeton University)

In november beschuldigde het Amerikaanse ministerie van Justitie twee mannen van Massachusetts ervan voor meer dan $ 550.000 (€ 499.730)  aan cryptocurrency te hebben gestolen.

In augustus, Twitter-directeur Jack Dorsey, dat zijn persoonlijke account was gehackt en gebruikt werd racistische berichten te verzenden. Beveiligingsanalisten zijn van mening dat de aanvallers mogelijk een SIM-swapping techniek hebben gebruikt om het account te hacken.

Slechte authenticatie procedures

Bijna een jaar lang hebben de onderzoekers van Princeton de authenticatie procedures van de vijf telecom providers onderzocht. Het team heeft zich aangemeld voor 50 prepaid-accounts - 10 voor elke provider - en probeerde vervolgens een SIM-swap voor elke account. In alle 50 gevallen gebruikte het onderzoeksteam de telefoons enige tijd om een ​​geschiedenis van telefoongesprekken en sms-berichten te maken voordat de SIM werd verwisseld.

De teamleden zouden zich dan voordoen als fraudeurs en de support desks van de verschillende providers bellen om de simkaart te verwisselen. In de meeste gevallen zou het ondersteuningscentrum van de telecom provider om een ​​pincode vragen om het proces te starten, maar de leden van het onderzoeksteam kregen de opdracht de verkeerde te verstrekken, wat vervolgens leidde tot een reeks vragen die waren ontworpen om te proberen de identiteit van de beller te verifiëren. Zodra klantenondersteuning begon met het stellen van vragen, zouden de teamleden ofwel onwetendheid veinzen, misleidende informatie aanbieden of beweren dat ze slordig of onzorgvuldig gegevens hadden ingevoerd wanneer het oorspronkelijke account maken. "Bij het geven van onjuiste antwoorden op persoonlijke vragen zoals de geboortedatum of de postcode van de factuur, legden ze uit dat ze onzorgvuldig waren geweest bij het aanmelden, mogelijk onjuiste informatie hadden verstrekt en de informatie die ze hadden gebruikt niet konden herinneren", aldus het rapport. 

Reactie van telecom providers

Voordat ze in januari hun bevindingen publiceerden, deelde de onderzoekers van Princeton hun onderzoek met alle vijf de telecom providers. Alleen T-Mobile reageerde en merkte op dat het geen oproep logboeken meer zou gebruiken als onderdeel van zijn authenticatie proces. Het onderzoek werd ook gedeeld met CTIA, de brancheorganisatie die de telecom industrie vertegenwoordigt. Nick Ludlum, senior vice president en chief communications officer van de vereniging, vertelde Information Security Media Group dat deze providers zich inzetten voor het bestrijden van SIM-swapping-aanvallen. "We evalueren en updaten voortdurend onze cyberbeveiligings praktijken en ontwikkelen nieuwe consumentenbescherming", zegt Ludlum. "We moeten allemaal een rol spelen bij de bestrijding van fraude en we moedigen consumenten aan om de vele hulpmiddelen die in dit onderzoek worden genoemd, te gebruiken om hun persoonlijke informatie te beschermen." Shahrokh Shahidzadeh, de CEO van beveiligingsbedrijf Acceptto, is van mening dat SIM-swapping een fundamentele fout is bij het gebruik van tweefactorauthenticatie die afhankelijk is van het verzenden van een toegangscode via een sms-bericht. "Hoewel tweefactorauthenticatie bedoeld is om u een zekerheidsniveau te geven dat uw accounts alleen door uzelf worden geopend, moet u er rekening mee houden dat ze onvoldoende zijn", vertelt Shahidzadeh aan ISMG. "In dit geval worden de sms-berichten gebruikt om een ​​frauduleus gebruik van uw accounts te valideren, maar worden ze misbruikt door cybercriminelen" 

De authenticatie verbeteren

De onderzoekers van Princeton beschrijven verschillende stappen die telecom providers zouden kunnen nemen om het authenticatie proces te verbeteren en het aantal SIM-swaps te verminderen. Deze omvatten: Staken van het gebruik van persoonlijke informatie, accountinformatie, apparaat informatie, gebruiksinformatie en beveiligingsvragen als onderdeel van het authenticatie proces; Gebruik van een website of applicatie-login met een eenmalig wachtwoord verzonden via een spraakoproep, die het gebruik van klantgegevens en persoonlijke informatie voor toegang tot het account kan elimineren; Vereisen dat alle klanten multifactor-authenticatie gebruiken; Waarschuw klanten wanneer aanvallers toegang proberen te krijgen tot een account; Beperk de informatie waartoe de klantenservice toegang heeft om te voorkomen dat vertegenwoordigers persoonlijke gegevens en informatie aan aanvallers "lekken"; Publiceer alle manieren waarop klanten toegang kunnen krijgen tot hun accounts en deze kunnen authenticeren om verwarring over welke informatie ze nodig hebben te elimineren; Beter vertegenwoordigers van klantenservice trainen over sim-swapping en authenticatietechnieken.

Bron: bankinfosecurity