We are searching data for your request:
Upon completion, a link will appear to access the found materials.
A COVID-19 miatt sokan megrendelünk online termékeket, és online fizetési módokat használunk, mint például a Paypal és a Venmo a termékek kifizetéséhez.
Ban ben 2020 január, a Princetoni Egyetem Informatikai Politikai Központjának kutatói közzétettek egy tanulmányt, amely kimutatta, hogy a hackerek átvehetik az irányítást a felhasználók számláin ezeken és más szolgáltatásokon is.
Probléma a többtényezős hitelesítéssel
A kutatók elemezték a többtényezős hitelesítés (MFA) eljárásai 140online oldalak amely magában foglalta a közösségi média hálózatokat, az e-mail szolgáltatókat és a vállalati megoldásokat.
A többtényezős hitelesítés online biztonsági intézkedés, és olyan hitelesítési módszerre utal, amely két vagy több bizonyítékot igényel, vagy tényezők. A tipikus tényezők a következők:
- Valamit csak a felhasználó ismer - jelszavakat, PIN-kódokat, kombinációkat és kódszavakat tartalmaz
- Valami csak a felhasználóé - olyan fizikai tárgyakat tartalmaz, mint a kulcsok, okostelefonok, intelligens kártyák, USB-meghajtók és token eszközök
- Valami a felhasználó - magában foglalja az ujjlenyomatokat, a tenyérbeolvasást, az arcfelismerést, a retina, az írisz és a hangellenőrzést.
A kutatók megállapították 17társaságok ahol egy telefon volt SIM cserélve akkor fel lehet használni egy fiók jelszavának visszaállítására. A SIM-csere csalás lehetővé teszi, hogy valaki átvegye az irányítást a telefon felett, és egy hacker ezután teljes hozzáférést nyerhet az online profilokhoz a különböző webhelyeken.
Az érintett vállalatok között volt az Adobe, az Amazon, az AOL, a Blizzard, az eBay, a Finnair, a Gaijin Entertainment, a Mailchimp, a Microsoft, az Online, a Paypal, a Snapchat, a Taxact, a Venmo, a WordPress, a Yahoo és a Zoho Mail.
A kutatók három módszerrel próbálták jelenteni a sérülékenységet az érintett vállalatok számára: közvetlen bejelentés a cégnek, hibakeresési platformokon, például a HackerOne, és ügyfélszolgálati csatornákon keresztül.
KAPCSOLÓDÓ: TELEFONJÁT CSAK A TÁBLÁZATON TÖRTÉNHETIK ÚJ VIBRÁCIÓS Támadással
Az Adobe, a Snapchat és az eBay elismerte a biztonsági rést, és azonnal kijavította. A Blizzard, a Microsoft és a Taxact kijavították a sebezhetőséget, de nem tájékoztatták a kutatókat.
A Paypal a kutatók jelentését hatókörön kívül esőnek tartotta, és azt állította, hogy "a biztonsági rés nem a Paypal-ban van, ahogy említetted, ez a fuvarozók problémája, és nekik kell javítaniuk az oldalukon".
A harmadik fél hibakeresési programjainak adott négy jelentésből hármat figyelmen kívül hagytak. Még rosszabb, hogy a HackerOne korlátozza azokat, akik benyújtották a HackerOne szerint túl sok hibajelentést, újak benyújtását.
Öt vállalat, az AOL, a Finnair, a Mailchimp, a Venmo és a WordPress egyáltalán nem válaszolt a kutatóknak. *
Hogyan veheti át valaki a telefonját?
A SIM jelentése Sfeliratkozó énfogazat Module, és ez egy kártya, amelyben beágyazott integrált áramkör található, és amely az alábbiakat tárolja:
- Egyedülálló énintegrált Circuit Card énfogorvos (ICCID), amely az egyes SIM-eket nemzetközileg azonosítja
- An énnemzetközi Mobilis Sfeliratkozó énfogazatszám (IMSI), amely az összes mobilhálózathoz társított egyedi azonosító
- Biztonsági hitelesítés és rejtjelezési információk
- A helyi hálózattal kapcsolatos ideiglenes információk
- Azon szolgáltatások listája, amelyekhez a felhasználó hozzáfér
- Két jelszó: a Pszemélyi énfogazat Number (PIN) szokásos használatra, és a Pszemélyi Unblokkolás Code (PUC) a PIN feloldásához.
Minden GSM (Global System for Mobile Communications) telefonokhoz SIM-kártya szükséges. A CDMA (Códa Division Multiple Access) telefonok, csak az újabb LTE (Long Term Evolution) telefonokhoz SIM-kártya szükséges. A SIM-kártyákat műholdas telefonok, okosórák és kamerák is használják.
A mobiltelefon-hordozók SIM-cserére való meggyőzéséhez a hackerek személyes adatokat használnak, amelyeket az adatok megsértése miatt szereznek, vagy olyan információkat, amelyeket a közösségi média fiókjaiból gyűjtenek, például születési dátumát vagy édesanyja leánykori nevét.
A hackerek egy másik módja annak, hogy átvegyék a telefonját, az, hogy két telefonszámot hívnak fel. Előfordulhat, hogy hívást vagy szöveges üzenetet küld Önnek arról, hogy megnyerte a versenyt, és felhívhat egy bizonyos számot a nyeremény megszerzéséhez.
Ennek az az oka, hogy egyes cellahordozók eljárásai között szerepel két nemrégiben tárcsázott szám kérése, ha a felhasználó nem emlékszik a PIN-kódjára vagy a biztonsági kérdésekre adott válaszokra. Mivel a hacker tudni fogja ezeket a számokat, megadják a SIM-cserét.
Ugyanazok a Princetoni Egyetem kutatói figyelmeztették a "nagy öt" amerikai mobilszolgáltatót - a Verizont, az AT&T-t, a T-Mobile-ot, a Sprint-et és az amerikai Cellular-t - erre a sérülékenységre. A szolgáltatók közül csak a T-Mobile módosította a hívásnaplók használatát az ügyfelek hitelesítése érdekében.
Történetek azokról, akiket SIM-re cseréltek
2018. februári cikkében a Vice több olyan fióktulajdonosról számolt be, akik SIM-kártya áldozatává váltak egy adott mobiltelefon-szolgáltatónál.
TC, aki egy elszánt hackerrel küzdött egész nap, leírta tapasztalatait:
Ma reggel értesítettek arról, hogy valaki megpróbál hozzáférni a SIM-kártyámhoz. Mondtam a képviselőnek, hogy zárolja a számlámat, és ne engedélyezzen semmit, hacsak nem vagyok fizikailag jelen a boltban. 4 órával később a telefonomat "Nincs hálózat elérhető" üzenettel figyelmeztetem. Tudtam, hogy a hacker átjutott.
[A hacker] ... úgy tett, mintha T-Mobile alkalmazott lenne, és hozzáférést kapott a SIM-hez. ... kezdtem figyelmeztetéseket kapni az összes e-mail fiókomról, hogy a jelszavam megváltozott. Körülbelül egy óra kellett, hogy visszaszerezzem az irányítást minden felett, de pánikba estem. Nem vagyok biztos benne, mit tudtak megragadni ... [Én vagyok] jelenleg csak az e-mailemet és a bankszámlámat bámulva várok katasztrófára.
Egy másik felhasználó, a BW arról számolt be, hogy a szolgáltatójuk SIM-je cserélte a számukat, és a hacker ezután azonnal hitelkártyát kért, kapott egy $20,000 hitelkeretet, és bevásárlási kedvvel járt. HT felhasználó leírta, hogy$2,000 kiürült a Wells Fargo számlájáról Zelle-en keresztül.
Egy másik felhasználó veszteségről számolt be $2,000 banki átutalással, és "Csak 18 perc telt el a számom" ellopásától "az átutalt pénzig."
Az MC felhasználó ezt írta:
...Vesztettem $5,200 összesen, $1,999 egy számláról, $2,500 egy másiktól és $600 készpénzre beváltott hitelkártya-pontokban. Még mindig nem kaptam vissza a számomat, és számtalan órát töltöttem az összes bankszámlám lezárásával és újranyitásával, rendőrségi jelentés kitöltésével, bankokkal, hitelkártya-társaságokkal és [a karrier]. Kamatot kellett fizetnem a hitelkártyámról, mivel minden pénzem befagyott január 9-től január 25-ig, és biztos vagyok benne, hogy kapok némi csekk-visszatérítési díjat, mert nem változtattam meg az átutalási számlát az automatikus hitelkártyámmal. terhelések időben.
A legjobb az volt [a karrier] számlát küldött nekem, és felszámoltak a szolgáltatásom befejezéséért és a számom kikötéséért. Tréfálsz velem?!?!
A telefonomat feltörték?
A következőkre kell figyelni, ha gyanítja, hogy a telefonját feltörték:
- Az akkumulátor élettartamának csökkenése - ennek oka lehet, hogy a telefonodon lévő szélhámos alkalmazások használják az erőforrásait, és információkat továbbítanak egy szerverre
- Lassú teljesítmény - ha a telefonja gyakran fagy, vagy ha egyes alkalmazások összeomlanak, és nem hajlandók bezárni
- Az adatfelhasználás növekedése - ennek oka lehet a háttérben futó, és a szerverre visszaküldött információkat átfogó alkalmazások
- Hívások vagy SMS-ek ismeretlen számokra - a rosszindulatú programok arra kényszeríthetik telefonját, hogy prémiumszámú telefonszámokra hívjon
- Az előugró ablakok növekedése - ezek tartalmazhatnak reklámprogramokat vagy adathalász kísérleteket, amelyek bizalmas információk beírására szólítanak fel; míg az előugró ablakot elutasíthatja egy "X" gombra kattintva, egyes előugró ablakokban van egy faux "X" jel, amely valójában egy rosszindulatú webhelyre vezet
- Az Ön engedélye nélkül telepített új alkalmazások - akkor is, ha a telefon gyakran összeomlik, majd újraindul
- Szokatlan tevékenység a telefonhoz kapcsolt fiókokon - ha értesítést kap a jelszó alaphelyzetbe állításáról vagy új számlák megnyitásáról.
Hogyan lehet elkerülni a SIM cseréjét
A SIM-kártya cseréjének elkerülése érdekében összekapcsolhatja online fiókjait a Voice over énnternet Protocol (VoIP) szám, például Google Voice vagy Skype. A Google Voice-számok nincsenek összekapcsolva a valódi SIM-kártyákkal, ezért nehezebb eltéríteni őket.
Egy másik módszer, amellyel elkerülheti a SIM cseréjét, az az, hogy PIN-kódot ad a mobiltelefon-fiókjához.
AT&T esetében:
- Nyissa meg a fiók profilját, jelentkezzen be, majd válassza a lehetőséget Bejelentkezési információk.
- Alatt Vezeték nélküli jelszó szakaszban válassza ki További biztonság kezelése.
- Adja meg jelszavát, amikor a rendszer kéri.
A Verizon esetében:
- Látogasson el erre a webhelyre.
- Jelentkezzen be fiókjába, majd írja be kétszer a kívánt PIN-kódot.
- Kattintson a gombra Beküldés.
T-Mobile esetében:
- Az első bejelentkezéskor állítsa be a PIN-kódot Saját T-Mobile számla.
- Válassza a lehetőséget Szöveges üzenetek vagy Biztonsági kérdés és kövesse az utasításokat.
Sprinthez:
- Jelentkezz be a fiókodba.
- Kattintson Az én Sprintem, majd válassza a lehetőséget Profil és biztonság.
- Választ Biztonsági információk a PIN-kód vagy a biztonsági kérdések frissítéséhez.
A társadalmi távolságtartás ebben az időszakában éppoly fontos, hogy vigyázzon a telefon és az online fiókok egészségére, mint a saját egészségére.
