Fl-ittra: Jekk tuża l-SMS għall-awtentikazzjoni b'żewġ fatturi fuq il-kontijiet online tiegħek, tista 'tkun trid tibdel dan kemm jista' jkun malajr. Skond ir-riċerkaturi ta 'Princeton, ħamsa mill-akbar trasportaturi ta' l-Istati Uniti ftit jagħmlu biex jipproteġuk minn attakki ta 'swap SIM, u joffru lill-attakkanti mod faċli biex tirrisettja l-passwords tiegħek u taċċessa d-dejta sensittiva tiegħek jew timplimentahom online.

Għalkemm hija dejjem idea tajba li tuża awtentikazzjoni b'ħafna fatturi Li żżomm il-kontijiet online tiegħek siguri ma jfissirx li int kompletament sikur minn kull min irid jisraq dejta personali sensittiva.

Permezz ta ' studju Ħamsa mill-akbar operaturi mħallsa minn qabel fl-Istati Uniti, mill-Università ta 'Princeton, ma jistgħux jipproteġuk kontra dak li jissejjaħ attakk "SIM swap". Aħna koprajna dawn it-tipi ta 'kwistjonijiet Serq ftit żminijiet fil-passat.

Il-mod kif jaħdem attakkant huwa billi tikkonvinċi lil trasportatur biex jassenja mill-ġdid in-numru tat-telefon tal-vittma għal SIM card ġdida mingħajr ma jgħaddi mill-mistoqsijiet ta 'sigurtà standard kollha biex jawtentika. Dan jippermetti lil min iwettaq il-frodi biex jaħtaf il-kont ta 'xi ħadd u juża awtentikazzjoni b'żewġ fatturi biex jerġa' jdaħħal il-passwords għal kontijiet online importanti bħall-email u l-kontijiet bankarji.

Riċerkaturi ffirmaw għal 50 kont imħallas minn qabel f'Verizon, AT&T, T-Mobile, US Mobile, u Tracfone, u ħafna mill-2019 fittxew modi biex iqarrqu l-operaturi taċ-ċentri tas-sejħiet biex iżidu n-numri tat-telefon tagħhom ma 'SIM ġdida. Dak li sabu kien li anke wara tentattivi multipli li ma rnexxewx meta rrappurtaw li ma ġġeneraw l-ebda bnadar ħomor, huma kellhom biss jirrispondu b'suċċess għal kwistjoni ta 'sigurtà biex jagħmlu dan.




Wara li deliberatament ipprovdew il-kodiċi PIN ħażin, intalbu jivverifikaw informazzjoni oħra bħal kodiċi postali jew informazzjoni oħra dwar id-detentur tal-kont reali. Ir-riċerkaturi qalu lill-ħaddiema taċ-ċentru tat-telefonati tagħhom li ma setgħux jiftakru x'kienet il-proċedura standard f'dan il-punt li kienet qed tistaqsi dwar l-aħħar żewġ telefonati magħmula min-numri tagħhom.




Din hija d-dgħjufija li tagħmel il-proċess sfruttabbli. L-attakkanti jistgħu faċilment isejħu lil xi ħadd għal numri speċifiċi billi jużaw websajts li jwiegħdu xi ħaġa. Ir-riċerkaturi skoprew ukoll li 17 minn 140 servizz onlajn li jużaw l-SMS għall-awtentikazzjoni b’żewġ fatturi ma jużaw l-ebda metodu ieħor biex jawtentikaw, u b’hekk jagħmilha aktar faċli għall-frodisti biex jisirqu l-identità jew jisirqu l-informazzjoni personali tal-vittmi.

Esperti fi Princeton innotifikaw lit-trasportaturi, u T-Mobile qalilhom aktar kmieni dan ix-xahar li ma kienx għadu qed juża reġistri tas-sejħiet bħala metodu ta ’awtentikazzjoni. Oħrajn bħal Verizon u US Mobile, jien għidt Huma rċevew inqas minn 1 fil-mija tat-talbiet tagħhom ta 'skambju ta' SIM permezz tat-telefon u qegħdin kontinwament jaġġornaw il-prattiki taċ-ċibersigurtà tagħhom.




Ir-riżultat ovvju huwa li tibqa '' l bogħod milli tuża l-SMS bħala forma ta 'awtentikazzjoni b'żewġ fatturi u tuża app ta' awtentikazzjoni minflok. Għal dawk li għandhom telefon Android, Google se ċavetta fiżika ta 'awtentikazzjoni b'żewġ fatturidwar l-iktar metodu sigur.