Artikkel

Princeton-forskere finner at noen transportører vil hjelpe kriminelle med å stjele SIM-kortet ditt

protection click fraud

Forskere ved Princeton University spurte om SMS-meldinger er en sikker autentiseringsmetode som skal brukes som en faktor i et 2-faktor-autentiseringsoppsett. Svaret viste seg å være et rungende nei, spesielt da teamet begynte å angripe forhåndsbetalte planer på de største mobiloperatørene.

Hvis en angriper kan få kontroll over et telefonnummer ved å bytte offerets konto til angriperens SIM-kort, angriperen kan deretter kapre bekreftelsesprosessen som bruker SMS ved å motta autentiserende tekstmeldinger i stedet for offeret. I ti av ti forsøk på å stjele tall fra forhåndsbetalte kunder på AT&T, Verizon og T-Mobile, kunne forskere overføre kontoen til sitt eget SIM-kort. Forsøk på Tracfone og US Mobile var mindre vellykkede, men disse operatørene var ikke helt sikre.

Verizon tilbyr Pixel 4a for bare $ 10 per måned på nye ubegrensede linjer

I noen tilfeller ringte forskere for å prøve å stjele en brukers identitet og kundeservicerepresentanten guidet dem til de riktige identitetsbekreftelsessvarene, eller bare ga angriperen tilgang selv etter at de hadde gjettet feil. Forskerne fant stor inkonsekvens, sporadiske feil i å verifisere identiteten helt og generelt nok svakhet i sikkerhetspolicyene til å anbefale å unngå SMS som passordgodkjenningsmetode helt. Siden studien ble avslørt for operatører i fjor, har T-Mobile sagt at den har oppdatert bekreftelsesmetodene for å unngå mindre sikre kontroller.

Rapporten foreslår at transportører forlater alle de elendige, usikre metodene som for tiden er i bruk, og bytter for å sikre metoder som et kontopassord / PIN-kode, eller i det minste en engangskode sendt direkte til brukeren via SMS eller e-post. Mange av de nåværende identifikasjonsformene som gateadresse, fødselsdato og noe kredittkortinformasjon kan bli funnet gjennom offentlige rekordsøk. Identifiserende informasjon, for eksempel datoen for offerets siste betaling eller telefonnumrene til nylige innringere, kan manipuleres eller forfalskes for å lure representanter. Nettsteder anbefales også å slutte å bruke SMS som en del av en flerfaktorautentiseringsordning.

To-faktor autentisering: Alt du trenger å vite

Har du lyttet til denne ukens Android Central Podcast?

Android Central

Hver uke gir Android Central Podcast deg de siste tekniske nyhetene, analysene og hot-takene, med kjente medvert og spesielle gjester.

  • Abonner i Pocket Cast: Lyd
  • Abonner i Spotify: Lyd
  • Abonner i iTunes: Lyd

Vi kan tjene en provisjon for kjøp ved hjelp av linkene våre. Lære mer.

Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
Det er på tide å kutte ledningen!

Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!

De beste trådløse ørepluggene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.

Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer
Neste generasjon

Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.

Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.

Nokia lanserer to nye budsjett Android One-telefoner under $ 200
Nye Nokias

Nokia lanserer to nye budsjett Android One-telefoner under $ 200.

Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett for smarttelefoner. Siden de begge er Android One-enheter, vil de garantert motta to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.

Her er de beste tilfellene for Galaxy S10
Det beste du kan få

Her er de beste tilfellene for Galaxy S10.

Selv om det ikke er den nyeste telefonen der ute, er Galaxy S10 en av de fineste og glatteste telefonene på markedet. Forsikre deg om at du kler det med en av disse sakene.

instagram story viewer