Mobil

Az online fiókok biztonságának megóvása a SIM-csere támadásoktól

Az online fiókok biztonságának megóvása a SIM-csere támadásoktól



We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

A COVID-19 miatt sokan megrendelünk online termékeket, és online fizetési módokat használunk, mint például a Paypal és a Venmo a termékek kifizetéséhez.

Ban ben 2020 január, a Princetoni Egyetem Informatikai Politikai Központjának kutatói közzétettek egy tanulmányt, amely kimutatta, hogy a hackerek átvehetik az irányítást a felhasználók számláin ezeken és más szolgáltatásokon is.

Probléma a többtényezős hitelesítéssel

A kutatók elemezték a többtényezős hitelesítés (MFA) eljárásai 140online oldalak amely magában foglalta a közösségi média hálózatokat, az e-mail szolgáltatókat és a vállalati megoldásokat.

A többtényezős hitelesítés online biztonsági intézkedés, és olyan hitelesítési módszerre utal, amely két vagy több bizonyítékot igényel, vagy tényezők. A tipikus tényezők a következők:

  • Valamit csak a felhasználó ismer - jelszavakat, PIN-kódokat, kombinációkat és kódszavakat tartalmaz
  • Valami csak a felhasználóé - olyan fizikai tárgyakat tartalmaz, mint a kulcsok, okostelefonok, intelligens kártyák, USB-meghajtók és token eszközök
  • Valami a felhasználó - magában foglalja az ujjlenyomatokat, a tenyérbeolvasást, az arcfelismerést, a retina, az írisz és a hangellenőrzést.

A kutatók megállapították 17társaságok ahol egy telefon volt SIM cserélve akkor fel lehet használni egy fiók jelszavának visszaállítására. A SIM-csere csalás lehetővé teszi, hogy valaki átvegye az irányítást a telefon felett, és egy hacker ezután teljes hozzáférést nyerhet az online profilokhoz a különböző webhelyeken.

Az érintett vállalatok között volt az Adobe, az Amazon, az AOL, a Blizzard, az eBay, a Finnair, a Gaijin Entertainment, a Mailchimp, a Microsoft, az Online, a Paypal, a Snapchat, a Taxact, a Venmo, a WordPress, a Yahoo és a Zoho Mail.

A kutatók három módszerrel próbálták jelenteni a sérülékenységet az érintett vállalatok számára: közvetlen bejelentés a cégnek, hibakeresési platformokon, például a HackerOne, és ügyfélszolgálati csatornákon keresztül.

KAPCSOLÓDÓ: TELEFONJÁT CSAK A TÁBLÁZATON TÖRTÉNHETIK ÚJ VIBRÁCIÓS Támadással

Az Adobe, a Snapchat és az eBay elismerte a biztonsági rést, és azonnal kijavította. A Blizzard, a Microsoft és a Taxact kijavították a sebezhetőséget, de nem tájékoztatták a kutatókat.

A Paypal a kutatók jelentését hatókörön kívül esőnek tartotta, és azt állította, hogy "a biztonsági rés nem a Paypal-ban van, ahogy említetted, ez a fuvarozók problémája, és nekik kell javítaniuk az oldalukon".

A harmadik fél hibakeresési programjainak adott négy jelentésből hármat figyelmen kívül hagytak. Még rosszabb, hogy a HackerOne korlátozza azokat, akik benyújtották a HackerOne szerint túl sok hibajelentést, újak benyújtását.

Öt vállalat, az AOL, a Finnair, a Mailchimp, a Venmo és a WordPress egyáltalán nem válaszolt a kutatóknak. *

Hogyan veheti át valaki a telefonját?

A SIM jelentése Sfeliratkozó énfogazat Module, és ez egy kártya, amelyben beágyazott integrált áramkör található, és amely az alábbiakat tárolja:

  • Egyedülálló énintegrált Circuit Card énfogorvos (ICCID), amely az egyes SIM-eket nemzetközileg azonosítja
  • An énnemzetközi Mobilis Sfeliratkozó énfogazatszám (IMSI), amely az összes mobilhálózathoz társított egyedi azonosító
  • Biztonsági hitelesítés és rejtjelezési információk
  • A helyi hálózattal kapcsolatos ideiglenes információk
  • Azon szolgáltatások listája, amelyekhez a felhasználó hozzáfér
  • Két jelszó: a Pszemélyi énfogazat Number (PIN) szokásos használatra, és a Pszemélyi Unblokkolás Code (PUC) a PIN feloldásához.

Minden GSM (Global System for Mobile Communications) telefonokhoz SIM-kártya szükséges. A CDMA (Códa Division Multiple Access) telefonok, csak az újabb LTE (Long Term Evolution) telefonokhoz SIM-kártya szükséges. A SIM-kártyákat műholdas telefonok, okosórák és kamerák is használják.

A mobiltelefon-hordozók SIM-cserére való meggyőzéséhez a hackerek személyes adatokat használnak, amelyeket az adatok megsértése miatt szereznek, vagy olyan információkat, amelyeket a közösségi média fiókjaiból gyűjtenek, például születési dátumát vagy édesanyja leánykori nevét.

A hackerek egy másik módja annak, hogy átvegyék a telefonját, az, hogy két telefonszámot hívnak fel. Előfordulhat, hogy hívást vagy szöveges üzenetet küld Önnek arról, hogy megnyerte a versenyt, és felhívhat egy bizonyos számot a nyeremény megszerzéséhez.

Ennek az az oka, hogy egyes cellahordozók eljárásai között szerepel két nemrégiben tárcsázott szám kérése, ha a felhasználó nem emlékszik a PIN-kódjára vagy a biztonsági kérdésekre adott válaszokra. Mivel a hacker tudni fogja ezeket a számokat, megadják a SIM-cserét.

Ugyanazok a Princetoni Egyetem kutatói figyelmeztették a "nagy öt" amerikai mobilszolgáltatót - a Verizont, az AT&T-t, a T-Mobile-ot, a Sprint-et és az amerikai Cellular-t - erre a sérülékenységre. A szolgáltatók közül csak a T-Mobile módosította a hívásnaplók használatát az ügyfelek hitelesítése érdekében.

Történetek azokról, akiket SIM-re cseréltek

2018. februári cikkében a Vice több olyan fióktulajdonosról számolt be, akik SIM-kártya áldozatává váltak egy adott mobiltelefon-szolgáltatónál.

TC, aki egy elszánt hackerrel küzdött egész nap, leírta tapasztalatait:

Ma reggel értesítettek arról, hogy valaki megpróbál hozzáférni a SIM-kártyámhoz. Mondtam a képviselőnek, hogy zárolja a számlámat, és ne engedélyezzen semmit, hacsak nem vagyok fizikailag jelen a boltban. 4 órával később a telefonomat "Nincs hálózat elérhető" üzenettel figyelmeztetem. Tudtam, hogy a hacker átjutott.

[A hacker] ... úgy tett, mintha T-Mobile alkalmazott lenne, és hozzáférést kapott a SIM-hez. ... kezdtem figyelmeztetéseket kapni az összes e-mail fiókomról, hogy a jelszavam megváltozott. Körülbelül egy óra kellett, hogy visszaszerezzem az irányítást minden felett, de pánikba estem. Nem vagyok biztos benne, mit tudtak megragadni ... [Én vagyok] jelenleg csak az e-mailemet és a bankszámlámat bámulva várok katasztrófára.

Egy másik felhasználó, a BW arról számolt be, hogy a szolgáltatójuk SIM-je cserélte a számukat, és a hacker ezután azonnal hitelkártyát kért, kapott egy $20,000 hitelkeretet, és bevásárlási kedvvel járt. HT felhasználó leírta, hogy$2,000 kiürült a Wells Fargo számlájáról Zelle-en keresztül.

Egy másik felhasználó veszteségről számolt be $2,000 banki átutalással, és "Csak 18 perc telt el a számom" ellopásától "az átutalt pénzig."

Az MC felhasználó ezt írta:

...Vesztettem $5,200 összesen, $1,999 egy számláról, $2,500 egy másiktól és $600 készpénzre beváltott hitelkártya-pontokban. Még mindig nem kaptam vissza a számomat, és számtalan órát töltöttem az összes bankszámlám lezárásával és újranyitásával, rendőrségi jelentés kitöltésével, bankokkal, hitelkártya-társaságokkal és [a karrier]. Kamatot kellett fizetnem a hitelkártyámról, mivel minden pénzem befagyott január 9-től január 25-ig, és biztos vagyok benne, hogy kapok némi csekk-visszatérítési díjat, mert nem változtattam meg az átutalási számlát az automatikus hitelkártyámmal. terhelések időben.

A legjobb az volt [a karrier] számlát küldött nekem, és felszámoltak a szolgáltatásom befejezéséért és a számom kikötéséért. Tréfálsz velem?!?!

A telefonomat feltörték?

A következőkre kell figyelni, ha gyanítja, hogy a telefonját feltörték:

  1. Az akkumulátor élettartamának csökkenése - ennek oka lehet, hogy a telefonodon lévő szélhámos alkalmazások használják az erőforrásait, és információkat továbbítanak egy szerverre
  2. Lassú teljesítmény - ha a telefonja gyakran fagy, vagy ha egyes alkalmazások összeomlanak, és nem hajlandók bezárni
  3. Az adatfelhasználás növekedése - ennek oka lehet a háttérben futó, és a szerverre visszaküldött információkat átfogó alkalmazások
  4. Hívások vagy SMS-ek ismeretlen számokra - a rosszindulatú programok arra kényszeríthetik telefonját, hogy prémiumszámú telefonszámokra hívjon
  5. Az előugró ablakok növekedése - ezek tartalmazhatnak reklámprogramokat vagy adathalász kísérleteket, amelyek bizalmas információk beírására szólítanak fel; míg az előugró ablakot elutasíthatja egy "X" gombra kattintva, egyes előugró ablakokban van egy faux "X" jel, amely valójában egy rosszindulatú webhelyre vezet
  6. Az Ön engedélye nélkül telepített új alkalmazások - akkor is, ha a telefon gyakran összeomlik, majd újraindul
  7. Szokatlan tevékenység a telefonhoz kapcsolt fiókokon - ha értesítést kap a jelszó alaphelyzetbe állításáról vagy új számlák megnyitásáról.

Hogyan lehet elkerülni a SIM cseréjét

A SIM-kártya cseréjének elkerülése érdekében összekapcsolhatja online fiókjait a Voice over énnternet Protocol (VoIP) szám, például Google Voice vagy Skype. A Google Voice-számok nincsenek összekapcsolva a valódi SIM-kártyákkal, ezért nehezebb eltéríteni őket.

Egy másik módszer, amellyel elkerülheti a SIM cseréjét, az az, hogy PIN-kódot ad a mobiltelefon-fiókjához.

AT&T esetében:

  1. Nyissa meg a fiók profilját, jelentkezzen be, majd válassza a lehetőséget Bejelentkezési információk.
  2. Alatt Vezeték nélküli jelszó szakaszban válassza ki További biztonság kezelése.
  3. Adja meg jelszavát, amikor a rendszer kéri.

A Verizon esetében:

  1. Látogasson el erre a webhelyre.
  2. Jelentkezzen be fiókjába, majd írja be kétszer a kívánt PIN-kódot.
  3. Kattintson a gombra Beküldés.

T-Mobile esetében:

  1. Az első bejelentkezéskor állítsa be a PIN-kódot Saját T-Mobile számla.
  2. Válassza a lehetőséget Szöveges üzenetek vagy Biztonsági kérdés és kövesse az utasításokat.

Sprinthez:

  1. Jelentkezz be a fiókodba.
  2. Kattintson Az én Sprintem, majd válassza a lehetőséget Profil és biztonság.
  3. Választ Biztonsági információk a PIN-kód vagy a biztonsági kérdések frissítéséhez.

A társadalmi távolságtartás ebben az időszakában éppoly fontos, hogy vigyázzon a telefon és az online fiókok egészségére, mint a saját egészségére.


Nézd meg a videót: iPhone 11 - Innovative Screen (Augusztus 2022).