Mektupta: Çevrimiçi hesaplarınızda iki öğeli kimlik doğrulaması için SMS kullanıyorsanız, bunu mümkün olan en kısa sürede değiştirmek isteyebilirsiniz. Princeton araştırmacılarına göre, en büyük ABD taşıyıcılarından beşi sizi SIM değiştirme saldırılarına karşı korumak için çok az şey yapıyor, bu da saldırganlara şifrelerinizi sıfırlamak ve hassas verilerinize erişmek veya çevrimiçi kimliğe bürünmek için kolay bir yol sunuyor.

Kullanmak her zaman iyi bir fikir olsa da çok faktörlü kimlik doğrulama çevrimiçi hesaplarınızın güvenliğini sağlamak için, hassas kişisel verileri çalmak isteyen herkesten tamamen güvenli olduğunuz anlamına gelmez.

Göre ders çalışma Princeton Üniversitesi'nden, ABD'nin en büyük ön ödemeli operatörlerinden beşi, sizi "SIM takas" saldırısı olarak adlandırılan uzmanlara karşı koruyamaz. Bu tür konuları ele aldık Çalınması birkaç zamanlar geçmişte.

Bir saldırganın çalışma şekli, bir taşıyıcıyı, kimliğini doğrulamak için tüm standart güvenlik sorularını geçmeden kurbanın telefon numarasını yeni bir SIM karta yeniden atamaya ikna etmesidir. Bu, dolandırıcının birisinin hesabını ele geçirmesine ve e-posta ve banka hesapları gibi önemli çevrimiçi hesaplara şifreleri sıfırlamak için iki faktörlü kimlik doğrulamasını kullanmasına olanak tanır.

Araştırmacılar Verizon, AT&T, T-Mobile, US Mobile ve Tracfone'da 50 ön ödemeli hesap için kaydoldular ve 2019'un çoğunu çağrı merkezi operatörlerini telefon numaralarını yeni bir SIM'lere eklemeleri için kandırmanın yollarını aradılar. Buldukları şey, herhangi bir kırmızı bayrak oluşturmadıklarını bildirdikleri çoklu başarısız girişimlerden sonra bile, bunu yapmak için sadece bir güvenlik sorununa başarılı bir şekilde yanıt vermeleri gerektiğiydi.

Kasıtlı olarak yanlış PIN kodu verdikten sonra, posta kodları veya gerçek hesap sahibi hakkındaki diğer bilgiler gibi diğer bilgileri doğrulamaları istendi. Araştırmacılar, çağrı merkezi çalışanlarına, bu noktada standart prosedürün numaralarından yapılan son iki çağrı hakkında sormak gibi göründüğünü hatırlayamadıklarını söylediler.




Süreci sömürülebilir yapan zayıflık budur. Saldırganlar, bir şeyi vaat eden web sitelerini kullanarak birini belirli numaralara kolayca arayabilir. Araştırmacılar ayrıca, iki faktörlü kimlik doğrulaması için SMS kullanan 140 çevrimiçi hizmetten 17'sinin kimliğinizi doğrulamak için başka bir yöntem kullanmadığını, dolandırıcıların kimlik hırsızlığı yapmasını veya kurbanların kişisel bilgilerini çalmasını daha da kolaylaştırdığını keşfetti.

Princeton'daki uzmanlar taşıyıcıları bilgilendirdi ve T-Mobile bu ayın başlarında onlara artık arama günlüklerini bir kimlik doğrulama yöntemi olarak kullanmadığını söyledi. Verizon ve US Mobile gibi diğerleri, dedim SIM takas taleplerinin yüzde 1'inden daha azını telefon üzerinden aldılar ve siber güvenlik uygulamalarını sürekli olarak güncelliyorlar.

Açık olan sonuç, SMS'yi iki faktörlü kimlik doğrulama biçimi olarak kullanmaktan uzak durmak ve bunun yerine bir kimlik doğrulama uygulaması kullanmaktır. Bir Android telefona sahip olanlar için Google, telefonunuzu bir fiziksel iki faktörlü kimlik doğrulama anahtarıen güvenli yöntemle ilgili.