四分之四的SIM-SWAP欺诈尝试成功
普林斯顿大学的一项研究透露,在客户试图改变他们的SIM卡时,五个领先的美国预付载波使用的认证程序使用不安全的认证挑战,这些挑战可以很容易地被攻击者颠覆。
该研究,对SIM互换的无线运营商认证的实证研究,由Kevin Lee,Ben Kaiser,Jonathan Mayer和Arvind Narayanan列出了所讨论的程序是对攻击者的重要防御线。这些攻击者通过扮演受害者来寻求劫持受害者的电话号码,并呼吁承运人要求将服务转移到攻击者拥有的SIM卡。
团队指出,SIM-Swap攻击允许攻击者拦截呼叫和消息,冒充受害者,并执行拒绝服务(DOS)攻击,并补充说他们已被广泛用于破解社交媒体账户,窃取加密电脑,以及闯入银行账户。
自2016年以来,警告已经存在于引起的其他外带认证方法,因为安全风险提升,包括SIM变化。
普林斯顿在五个美国预付运营商AT&T,T-Mobile,Tracfone,US Mobile和Verizon Wireless的此类请求中检测了身份验证机制的类型 - 通过注册50个预付帐户,10个载体,随后呼叫以请求每个帐户的SIM交换。
用于量化漏洞的下游效果的方法,研究团队反向工程师的认证策略超过140个网站,提供基于电话的身份验证。
该团队将每个网站用户的漏洞级别评为SIM-SWAP攻击。它找到了17个网站,在哪个用户帐户可以根据SIM单独交换,例如没有密码妥协。
从研究中发现的关键是,所有五个运营商都使用不安全的认证挑战,这可能很容易被攻击者颠覆。普林斯顿还发现,一般来说,即使他们在众多事先挑战失败,呼叫者也只需要成功地响应一个挑战来验证。
在每个载体中,程序通常是一致的,尽管在两个运营商跨越九次运营商时,客户服务代表(CSRS)要么未在身份验证之前没有验证呼叫者或泄露的帐户信息。
该研究还发现,攻击者通常只需要针对最脆弱的认证挑战,因为可以绕过其余的攻击。
在评估三个运营商的支付后账户时,研究人员表示,他们可能已经发现一些证据表明一些运营商对后支付账户的认证更强,而不是预付账户。
2019年7月,普林斯顿为其研究的运营商和代表无线通信行业,CTIA的美国贸易协会提供了初步通知。2020年1月,T-Mobile知情普林斯顿认为,在审查其研究后,它已停止使用呼叫日志来客户身份验证。
在研究后的采取行动中,普林斯顿建议运营商停止他们正在使用的客户身份验证方法,并实施更安全的实践。
除了呼吁运营商提供可选的客户可选的加强安全性外,该团队还将它们介绍,以限制客户支持客户在客户身份验证之前的信息访问信息。
研究人员还建议网站采用威胁建模来识别漏洞,并实现至少一个安全的多因素身份验证选项。
分析数据,ASEEM Sadana,Group Cloup Coverse Software和Solutions提供商Imimobile,观察到Sim-Swap欺诈对该行业来说是一个重要的关注,并且普林斯顿大学的研究突出了仍然存在很多工作要做。
“尽管技术进步,SIM-SWAP欺诈继续难以检测和预防,因为欺诈者正在调整他们的技术,”他说。“因此,移动运营商和银行需要共同努力,以确保其检测欺诈活动的流程不断发展。
“在客户数据方面,如SIM卡信息,设备类型和位置,移动运营商和银行必须能够实时运行检查,但目前许多欺诈预防系统仍依赖于历史数据。
“如果他们与客户订婚专家合作,双方都可以将更好的实践和技术提出,以便打击SIM-SWAP欺诈,使他们能够在客户赔钱之前识别风险,”他补充说。