El ataque de$16 muestra lo fácil que es para los portadores interceptar mensajes de texto
En un nuevo artículo titulado «Un Hacker recibió todos Mis mensajes de texto por6 16», el Vice reportero Joseph Cox detalló cómo el hacker de sombrero blanco, un empleado de un proveedor de seguridad, pudo redirigir todos sus mensajes de texto y luego ingresar a cuentas en línea que dependen de los textos para la autenticación.
Esto no era una estafa de intercambio de SIM, en la que «hackers engañan o sobornan a empleados de telecomunicaciones para que transfieran el número de teléfono de un objetivo a su propia tarjeta SIM», escribió Cox. «En cambio, el hacker utilizó un servicio de una empresa llamada Sakari, que ayuda a las empresas a hacer marketing por SMS y mensajería masiva, para redirigir mis mensajes a él.»
Este método engañó a T-Mobile para que redireccionara los mensajes de texto de Cox de una manera que podría no haber sido evidente para un usuario desprevenido. «A diferencia del robo de SIM, donde una víctima pierde el servicio celular por completo, mi teléfono parecía normal», escribió Cox. «Excepto que nunca recibí los mensajes destinados a mí, pero él sí.»
El hacker, que se hace llamar «Lucky225», es director de información en Okey Systems, un proveedor de seguridad. «Usé una tarjeta prepagada para comprar un plan de 1 16 por mes y luego, después de eso, me dejó robar números simplemente llenando la información de LOA con información falsa», le dijo el empleado de Okey a Cox. La» Carta de asignación «es» una Carta de Autorización, un documento que dice que el firmante tiene autoridad para cambiar de número de teléfono», escribió Cox.
«Unos minutos después de que ingresaran mi número de T-Mobile en Sakari, comenzaron a recibir mensajes de texto destinados a mí», escribió Cox. «No recibí ninguna notificación de llamada o mensaje de texto de Sakari pidiendo confirmar que mi número sería utilizado por su servicio. Simplemente dejé de recibir mensajes.»
Después de obtener acceso a los mensajes de Cox, «el hacker envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas», decía el artículo.
» En cuanto a cómo Sakari tiene esta capacidad para transferir números de teléfono, Nohl de Security Research Labs dijo: ‘no hay un protocolo global estandarizado para reenviar mensajes de texto a terceros, por lo que estos ataques dependerían de acuerdos individuales con telcos o centros de SMS'», escribió Cox.
Mientras Cox es un usuario de T-Mobile, el hacker le dijo que el » operador no importa… Es básicamente el salvaje oeste.»
CTIA: Los operadores ahora toman «medidas de precaución»
Okey ofrece una herramienta para monitorear cambios maliciosos en el servicio móvil de un usuario. «Regístrate en nuestra beta gratuita y monitorizaremos las comunicaciones fuera de banda, como las rutas y la configuración del operador. Si se produce un evento malicioso, le alertaremos a través de formas alternativas de comunicación confiable», dice la compañía.
Los propios portaaviones pueden ser capaces de detener este tipo de ataque en el futuro. T-Mobile, Verizon y AT&T recomendaron a Cox a CTIA, la asociación comercial que representa a los principales operadores de telefonía móvil. CTIA le dijo a Cox:
Después de ser conscientes de esta amenaza potencial, trabajamos de inmediato para investigarla y tomamos medidas de precaución. Desde entonces, ningún portador ha sido capaz de replicarlo. No tenemos indicios de ninguna actividad maliciosa que involucre la amenaza potencial ni de que algún cliente haya sido afectado. La privacidad y la seguridad del consumidor es nuestra principal prioridad, y continuaremos investigando este asunto.
Esa declaración no dice exactamente qué medidas de precaución han tomado los transportistas para evitar el ataque. Nos pusimos en contacto con T-Mobile y CTIA hoy y actualizaremos este artículo si obtenemos más información.
Sakari también aparentemente ha mejorado la seguridad. Adam Horsman, cofundador de Sakari, le dijo a Cox que Sakari, desde que tuvo conocimiento del ataque, «actualizó nuestro proceso de mensajería alojada para detectar esto en el futuro» y «agregó una función de seguridad en la que un número recibirá una llamada automatizada que requiere que el usuario envíe un código de seguridad a la compañía, para confirmar que tiene consentimiento para transferir ese número.»
Nos pusimos en contacto con Sakari hoy para informarnos sobre su seguridad e integración con T-Mobile y actualizaremos este artículo si recibimos una respuesta. Si bien Sakari estuvo involucrada en este caso, otras compañías de terceros también pueden tener integraciones con operadores que abren a los clientes de los operadores a ataques. Los propios operadores deben tener más cuidado al dar a los proveedores externos la capacidad de redirigir los mensajes de texto.
Actualización a las 2: 48 pm EDT: Sakari respondió a Ars con una declaración que decía: «Ahora hemos cerrado esta laguna en la industria en Sakari y otros proveedores y operadores de SMS deberían hacer lo mismo. Al puerto un número de teléfono móvil en los estados unidos, como un cliente que cambia de compañía para las llamadas de voz, el transportista está dejando autoriza su número de salida del país. No existe un estándar de este tipo en la industria para transferir la propiedad de la mensajería en números móviles. Sakari ya va más allá de los estándares de la industria en la verificación para nuevos clientes y siguió al pie de la letra las directrices de nuestro operador, pero a la luz de este desarrollo, ahora hemos agregado una llamada de verificación telefónica a todos los nuevos números habilitados para texto para que nadie pueda usar Sakari para explotar esta laguna de la industria nuevamente. El SMS es un medio de comunicación enormemente potente y, a medida que continúa dominando el panorama de la comunicación, agradeceríamos las mejoras necesarias de la industria, tanto de operadores como de revendedores.»
La historia de Cox no es el primer recordatorio de la inseguridad de los mensajes de texto. Los ataques de intercambio de SIM y las fallas en los protocolos telefónicos SS7 ya hacían que fuera arriesgado usar mensajes de texto para la autenticación, pero muchos sitios web y otros servicios en línea todavía dependen de los textos para verificar las identidades de los usuarios. Los clientes pueden configurar PIN de cuenta con T-Mobile y otros proveedores para evitar el acceso no autorizado a sus cuentas de celular, pero no está claro si hacerlo habría evitado el tipo de ataque que redirigió los mensajes de texto de Cox.