Cercetătorii au afirmat că măsura de securitate recomandată de majoritatea site-urilor web, precum și a aplicațiilor este ușor de piratat, punând în pericol milioane de oameni.
Autentificarea cu doi factori (2FA) implică trimiterea codurilor de confirmare prin mesaje text, către telefonul dumneavoastră, când încercați să vă autentificați la un serviciu online. Dar, dacă cineva îți poate accesa ilegal telefonul, îi va oferi acces și la conturile tale online.
Atacurile „schimb de SIM” exact asta fac, permițând hackerilor să transporte numere de telefon, la carduri SIM, noi. Rețelele de telefonie mobilă ar trebui să aibă măsuri de securitate, pentru a preveni acest lucru. Kevin Lee, de la Universitatea Princeton și colegii săi au descoperit cinci rețele majore de telefonie din SUA, care nu prezintă suficientă protecție a datelor.
Odată ce un hacker controlează numărul dumneavoastră de telefon, poate reseta parolele conturilor online, prin redirecționarea textelor de confirmare 2FA.
„Un număr de telefon furat nu produce doar manipularea setărilor 2FA ale victimei – îi permite atacatorului să copieze, să modifice sau chiar să distrugă serviciul celular al victimei”, spune Lee.
De asemenea, echipa de cercetători a analizat 140 de site-uri diferite, pentru a testa vulnerabilitatea lor la schimbul de SIM. S-au găsit 17 site-uri web frecvent accesate – ale căror nume au fost numite să ofere siguranță – erau „dublu nesigure”, ceea ce înseamnă că nu a fost nevoie niciodată de un utilizator care să-și insereze parola pentru a avea acces la conturi, fiind necesar doar un număr de telefon.
Echipa de cercetători și-a prezentat concluziile, cu privire la rețelele implicate: AT&T, T-Mobile, Tracfone, SUA Mobile și Verizon Wireless. Aceștia au făcut 10 recomandări pentru îmbunătățirea securității, cum ar fi, prevenirea reprezentanților de asistență a clienților de a accesa informații, înaintea autentificării dreptului de proprietate asupra contului, de către clienți. O singură companie, T-Mobile a răspuns cercetătorilor, spunând că va analiza modul în care se realizează autentificarea clienților.
Separat, New Scientist a contactat toate cele cinci companii. T-Mobile a confirmat că și-a schimbat procesul de autentificare. US Mobile a declarat că mai puțin de 1 % dintre cererile sale de schimb de SIM sunt făcute prin telefon și este puțin probabil, să cazi victimă acestui tip de atac.
AT&T și Verizon au direcționat New Scientist către CITA, Asociația Comercială din SUA, responsabilă de industria comunicațiilor wireless. „Toți avem un rol în combaterea fraudei și încurajăm utilizatorii să folosească instrumentele evidențiate în acest studiu, pentru a-și proteja informațiile personale”, spune Nick Ludlum din cadrul CITA. Pe de altă parte, compania Tracfone nu a răspuns acestor solicitări.
Victoria Baines, de la Institutul de Internet din Oxford, Universitatea din Oxford, susține constatările, metodele lucrării și recomandările echipei, dar ea consideră că ar trebui să fie dezvăluit numele site-urilor proclamate a fi vulnerabile, de către cercetători. „Toți ar trebui să fim în cunoștință de cauză cu privire la riscurile întâlnite prin folosirea acestor servicii”, spune ea. Dar Kevin Lee este de părere că „cele mai multe dintre aceste site-uri menționate, cu configurații dublu nesigure au sute de milioane de utilizatori, unele chiar miliarde”, astfel încât ar fi o iresponsabilitate să li se dezvăluie numele.
Dar dacă utilizatorii se gândeau să oprească 2FA, autorii sugerează ca această hotărâre să fie amânată. „Până la urmă, este oricum mai bine decât nimic”, continuă Lee.
