四分之四的SIM-SWAP欺诈尝试成功
澳大利亚政府拉插上云认证计划
政府声称它被释放的邮局误导了
极端网络简化了零售云网络
NHSX报告筛选转型的进展
组织失去控制云数据
Formulus Blackulus Black Forsa将内存变为块存储器
作为Xerox的墨水薄片得到了攻击性和HP Inc问题策略
炭黑到2020年开放澳大利亚数据中心
英国政府支持在线对抗极端主义
IOT增长集来自托管数据分析
2019年大选:苏格兰国家党的技术政策和数字计划
荷兰政府必须将其混在一起作为优先事项
上诉法院驳回邮局申请申请赔率判决
生物识别学,可在2024年启用2.5TT的移动支付
HPE瞄准混合IT管理作为服务
5克预计将在未来十年内为全球经济带来1.4亿美元
花哨的熊在东京游戏前恢复奥林匹克黑客
网络风险保险不仅仅是保险
2019年十大东盟IT故事
IR35改革:对私营部门缺乏2月202020年4月缺乏准备的担忧开始日期
Windows 7升级困扰健康服务技术愿景
商品公司Ed&F Man如何解决其威胁检测挑战
爱立信:2025年底超过26亿5G订阅
Telefónica套装宣布第二核科技供应商,因为它将广播到边缘
网络罪犯工具为圣诞欺诈季节
AWS云巨头第一主要量子计算推动的工程副总裁
芬兰政府支持网络安全倡议的地方当局
Dreamforce 2019:Benioff将数据中心阶段推出抗议者扰乱演讲
LI-Fi与OledComm带到天空
苏格兰人敦促委员会接受智能城市技术
运输部门的运输部门用于运输数据的映射工具
HM Currury Mulls贷款审查调查结果,但不会确认公开发布日期
执行面试:为什么时代是协作的长明语
2020年迎来5G始终是在便携式计算的年龄
2019年中东故事中的十大企业
ServiceNOW如何赋予亚洲移动劳动力
鲍里斯约翰逊的新政府没有技术改变
澳大利亚致力于大修技术基础设施
EE加入伦敦管4G移动试用
Qualcomm和Bosch Rexroth 5G Tech的工业设备市场
趋势科技内幕漏洞暴露需要以数据为中心的保护
中小企业在扩大的Futurenhs招标中占上风
富士通必须面对邮局地平线试验判断后面临审查
节省成本驱动企业自动化
Unit4首席执行官Mike Ettling:企业客户不会为AI支付额外费用
华为耸耸肩关闭了美国的缓刑
安全面试:网络武器是否需要日内瓦会议?
AWS CEO Andy Jassy抨击微软以云聚焦的Windows Server许可调整调整
臭名昭着的黑客索赔劳工DDOS的责任
您的位置:首页 >论坛 > 电子业界 >

四分之四的SIM-SWAP欺诈尝试成功

2021-09-09 17:44:11 [来源]:

普林斯顿大学的一项研究透露,在客户试图改变他们的SIM卡时,五个领先的美国预付载波使用的认证程序使用不安全的认证挑战,这些挑战可以很容易地被攻击者颠覆。

该研究,对SIM互换的无线运营商认证的实证研究,由Kevin Lee,Ben Kaiser,Jonathan Mayer和Arvind Narayanan列出了所讨论的程序是对攻击者的重要防御线。这些攻击者通过扮演受害者来寻求劫持受害者的​​电话号码,并呼吁承运人要求将服务转移到攻击者拥有的SIM卡。

团队指出,SIM-Swap攻击允许攻击者拦截呼叫和消息,冒充受害者,并执行拒绝服务(DOS)攻击,并补充说他们已被广泛用于破解社交媒体账户,窃取加密电脑,以及闯入银行账户。

自2016年以来,警告已经存在于引起的其他外带认证方法,因为安全风险提升,包括SIM变化。

普林斯顿在五个美国预付运营商AT&T,T-Mobile,Tracfone,US Mobile和Verizon Wireless的此类请求中检测了身份验证机制的类型 - 通过注册50个预付帐户,10个载体,随后呼叫以请求每个帐户的SIM交换。

用于量化漏洞的下游效果的方法,研究团队反向工程师的认证策略超过140个网站,提供基于电话的身份验证。

该团队将每个网站用户的漏洞级别评为SIM-SWAP攻击。它找到了17个网站,在哪个用户帐户可以根据SIM单独交换,例如没有密码妥协。

从研究中发现的关键是,所有五个运营商都使用不安全的认证挑战,这可能很容易被攻击者颠覆。普林斯顿还发现,一般来说,即使他们在众多事先挑战失败,呼叫者也只需要成功地响应一个挑战来验证。

在每个载体中,程序通常是一致的,尽管在两个运营商跨越九次运营商时,客户服务代表(CSRS)要么未在身份验证之前没有验证呼叫者或泄露的帐户信息。

该研究还发现,攻击者通常只需要针对最脆弱的认证挑战,因为可以绕过其余的攻击。

在评估三个运营商的支付后账户时,研究人员表示,他们可能已经发现一些证据表明一些运营商对后支付账户的认证更强,而不是预付账户。

2019年7月,普林斯顿为其研究的运营商和代表无线通信行业,CTIA的美国贸易协会提供了初步通知。2020年1月,T-Mobile知情普林斯顿认为,在审查其研究后,它已停止使用呼叫日志来客户身份验证。

在研究后的采取行动中,普林斯顿建议运营商停止他们正在使用的客户身份验证方法,并实施更安全的实践。

除了呼吁运营商提供可选的客户可选的加强安全性外,该团队还将它们介绍,以限制客户支持客户在客户身份验证之前的信息访问信息。

研究人员还建议网站采用威胁建模来识别漏洞,并实现至少一个安全的多因素身份验证选项。

分析数据,ASEEM Sadana,Group Cloup Coverse Software和Solutions提供商Imimobile,观察到Sim-Swap欺诈对该行业来说是一个重要的关注,并且普林斯顿大学的研究突出了仍然存在很多工作要做。

“尽管技术进步,SIM-SWAP欺诈继续难以检测和预防,因为欺诈者正在调整他们的技术,”他说。“因此,移动运营商和银行需要共同努力,以确保其检测欺诈活动的流程不断发展。

“在客户数据方面,如SIM卡信息,设备类型和位置,移动运营商和银行必须能够实时运行检查,但目前许多欺诈预防系统仍依赖于历史数据。

“如果他们与客户订婚专家合作,双方都可以将更好的实践和技术提出,以便打击SIM-SWAP欺诈,使他们能够在客户赔钱之前识别风险,”他补充说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。