In de brief: Als u sms gebruikt voor tweefactorauthenticatie op uw online accounts, wilt u dit misschien zo snel mogelijk wijzigen. Volgens Princeton-onderzoekers doen vijf van de grootste Amerikaanse providers weinig om u te beschermen tegen SIM-swap-aanvallen, door aanvallers een gemakkelijke manier te bieden om uw wachtwoorden opnieuw in te stellen en toegang te krijgen tot uw gevoelige gegevens of online na te doen.

Hoewel het altijd een goed idee is om te gebruiken multi-factor authenticatie Het veilig houden van uw online accounts betekent niet dat u volledig veilig bent voor iedereen die gevoelige persoonlijke gegevens wil stelen.

Door studie Vijf van de grootste prepaid-operators in de VS, afkomstig van Princeton University, kunnen u niet beschermen tegen een zogenaamde "sim-swap" -aanval. We hebben dit soort problemen behandeld Diefstal een paar keer in het verleden.

De manier waarop een aanvaller werkt, is door een koerier te overtuigen om het telefoonnummer van het slachtoffer opnieuw toe te wijzen aan een nieuwe simkaart zonder alle standaard beveiligingsvragen te doorlopen om te verifiëren. Hierdoor kan de fraudeur iemands account kapen en tweefactorauthenticatie gebruiken om wachtwoorden te resetten voor belangrijke online accounts zoals e-mail- en bankrekeningen.

Onderzoekers hebben zich aangemeld voor 50 prepaid-accounts bij Verizon, AT&T, T-Mobile, US Mobile en Tracfone, en een groot deel van 2019 zochten naar manieren om callcenter-operators te misleiden om hun telefoonnummers toe te voegen aan een nieuwe simkaart. Wat ze ontdekten, was dat ze, zelfs na meerdere mislukte pogingen waarbij ze aangaven geen rode vlaggen te genereren, alleen succesvol moesten reageren op een beveiligingsprobleem om dit te doen.




Nadat ze opzettelijk de verkeerde pincode hadden opgegeven, werd hen gevraagd om andere informatie te verifiëren, zoals postcodes of andere informatie over de echte rekeninghouder. De onderzoekers vertelden hun callcentermedewerkers dat ze zich niet konden herinneren wat de standaardprocedure op dit moment leek te vragen over de laatste twee oproepen die met hun nummers waren gedaan.




Dit is de zwakte waardoor het proces kan worden misbruikt. Aanvallers kunnen gemakkelijk iemand naar specifieke nummers bellen via websites die iets beloven. Onderzoekers ontdekten ook dat 17 van de 140 onlinediensten die sms gebruiken voor tweefactorauthenticatie geen andere methode gebruiken om te authenticeren, waardoor het nog gemakkelijker wordt voor fraudeurs om identiteit te stelen of de persoonlijke gegevens van slachtoffers te stelen.

Deskundigen van Princeton brachten de providers op de hoogte en T-Mobile vertelde hen eerder deze maand dat het geen oproeplogboeken meer gebruikte als authenticatiemethode. Anderen zoals Verizon en US Mobile, ik zei Ze ontvingen minder dan 1 procent van hun SIM-swapverzoeken via de telefoon en werken hun cyberbeveiligingspraktijken voortdurend bij.




Het voor de hand liggende resultaat is om weg te blijven van het gebruik van sms als een vorm van tweefactorauthenticatie en in plaats daarvan een authenticatie-app te gebruiken. Voor degenen die een Android-telefoon hebben, doet Google dat fysieke tweefactorauthenticatiesleutelover de veiligste methode.