$16 attack laat zien hoe gemakkelijk dragers het maken om tekstberichten
in een nieuw artikel getiteld “Een Hacker kreeg al mijn teksten voor $16,” Vice reporter Joseph Cox gedetailleerd hoe de white-hat hacker—een werknemer bij een security vendor—was in staat om al zijn tekstberichten omleiden en vervolgens in te breken in online accounts die vertrouwen op teksten voor authenticatie.
dit was geen sim-swap scam, waarin “hackers telecommedewerkers misleiden of omkopen om het telefoonnummer van een doelwit naar hun eigen SIM-kaart over te zetten”, schreef Cox. “In plaats daarvan, de hacker gebruikt een dienst van een bedrijf genaamd Sakari, die helpt bedrijven doen SMS marketing en mass messaging, om mijn berichten om te leiden naar hem.”
deze methode misleid T-Mobile in het omleiden van Cox ‘ s tekstberichten op een manier die misschien niet gemakkelijk zijn gebleken voor een nietsvermoedende gebruiker. “In tegenstelling tot Sim jacking, waar een slachtoffer mobiele service volledig verliest, mijn telefoon leek normaal,” Cox schreef. “Maar ik heb nooit de boodschappen ontvangen die voor mij bedoeld waren, maar hij wel.”
de hacker, die het mononiem “Lucky225” draagt, is director of information bij Okey Systems, een beveiligingsleverancier. “Ik gebruikte een prepaid kaart te kopen $ 16-per-maand plan en dan na dat werd gedaan het laat me nummers te stelen gewoon door het invullen van LOA info met valse info,” de Okey werknemer vertelde Cox. De ” LOA “is” een brief van machtiging, een document dat zegt dat de ondertekenaar bevoegd is om telefoonnummers te schakelen, ” Cox schreef.
” een paar minuten nadat ze mijn T-Mobile nummer in Sakari hadden ingevoerd, begonnen ze sms-berichten te ontvangen die voor mij bedoeld waren, ” schreef Cox. “Ik ontving geen oproep of sms bericht van Sakari vragen om te bevestigen dat mijn nummer zou worden gebruikt door hun dienst. Ik kreeg geen sms ‘ jes meer.”
na het verkrijgen van toegang tot Cox ‘ s berichten, “de hacker stuurde login verzoeken om Bumble, WhatsApp, en Postmates, en gemakkelijk toegang tot de accounts,” het artikel zei.
“als voor hoe Sakari heeft deze mogelijkheid om telefoonnummers, Nohl van Security Research Labs zei,’ Er is geen gestandaardiseerd wereldwijd protocol voor het doorsturen van tekstberichten aan derden, dus deze aanvallen zouden vertrouwen op individuele overeenkomsten met telco’ s of SMS-hubs, ‘” Cox schreef.
terwijl Cox een T-Mobile gebruiker is, vertelde de hacker hem dat de ” carrier doet er niet toe… Het is eigenlijk het Wilde Westen.”
CTIA: Carriers nemen nu “voorzorgsmaatregelen”
Okey biedt een hulpmiddel voor het monitoren van kwaadaardige wijzigingen in de mobiele service van een gebruiker. “Meld je aan voor onze gratis beta en we zullen externe communicatie, zoals uw routes en carrier-instellingen, monitoren. Als er een kwaadaardig evenement plaatsvindt, waarschuwen we u via alternatieve vormen van vertrouwde communicatie,” zegt het bedrijf.
de dragers zelf kunnen dit soort aanvallen in de toekomst stoppen. T-Mobile, Verizon en AT&t verwezen Cox naar CTIA, de brancheorganisatie die de top mobiele luchtvaartmaatschappijen vertegenwoordigt. CTIA vertelde Cox:
nadat we op de hoogte waren gesteld van deze potentiële dreiging, hebben we onmiddellijk gewerkt om het te onderzoeken en hebben we voorzorgsmaatregelen genomen. Sinds die tijd is geen enkele drager in staat geweest om het te repliceren. We hebben geen indicatie van enige kwaadaardige activiteit met betrekking tot de potentiële dreiging of dat klanten werden beïnvloed. Privacy en veiligheid van de consument is onze topprioriteit, en we zullen deze kwestie blijven onderzoeken.
in deze verklaring staat niet precies welke voorzorgsmaatregelen de vervoerders hebben genomen om de aanval te voorkomen. We hebben vandaag contact opgenomen met T-Mobile en CTIA en zullen dit artikel bijwerken als we meer informatie krijgen.
Sakari heeft blijkbaar ook de beveiliging verbeterd. Sakari medeoprichter Adam Horsman vertelde Cox dat Sakari heeft, sinds hij op de hoogte van de aanval, “bijgewerkt onze gehoste messaging proces om dit te vangen in de toekomst” en “voegde een beveiligingsfunctie waar een nummer zal een geautomatiseerde oproep die de gebruiker nodig heeft om een beveiligingscode terug te sturen naar het bedrijf te ontvangen, om te bevestigen dat ze toestemming hebben om dat nummer over te dragen.”
we hebben vandaag contact opgenomen met Sakari over de beveiliging en integratie met T-Mobile en zullen dit artikel updaten als we een reactie krijgen. Terwijl Sakari was betrokken bij deze zaak, andere derde-partij bedrijven kunnen ook integraties met vervoerders die de klanten van de vervoerders te openen voor aanvallen. De vervoerders zelf moeten voorzichtiger over het geven van derden leveranciers de mogelijkheid om tekstberichten omleiden.
Update om 14:48 uur EDT: Sakari reageerde op Ars met een verklaring: “We hebben nu deze industrie Maas in de wet gesloten bij Sakari en andere SMS providers en providers zouden hetzelfde moeten doen. Wanneer u een mobiel telefoonnummer in de VS porteert, zoals een klant die van provider wisselt voor spraakoproepen, machtigt de provider die u verlaat het vertrek van uw nummer. Er bestaat geen dergelijke industriestandaard voor de overdracht van eigendom van berichten op mobiele nummers. Sakari gaat al verder dan de industrie normen op Verificatie voor nieuwe klanten en volgde onze carrier richtlijnen tot op de letter, maar in het licht van deze ontwikkeling hebben we nu een telefoon verificatie oproep toegevoegd aan alle nieuwe tekst-enabled nummers, zodat niemand Sakari kan gebruiken om deze industrie Maas in de wet weer te exploiteren. SMS is een enorm krachtig communicatiemedium, en aangezien het het communicatielandschap blijft domineren, zouden we graag verbeteringen zien die nodig zijn vanuit de industrie—zowel vervoerders als wederverkopers.”
Cox ‘ s story is niet de eerste herinnering over de onzekerheid van SMS-berichten. Sim-swapping aanvallen en gebreken in de SS7 telefoonprotocollen maakte het al riskant om SMS-berichten te gebruiken voor authenticatie, maar veel websites en andere online diensten vertrouwen nog steeds op teksten om de identiteit van gebruikers te verifiëren. Klanten kunnen het opzetten van Account PINs met T-Mobile en andere vervoerders om ongeautoriseerde toegang tot hun mobiele accounts te voorkomen, maar het is niet duidelijk of dit te doen zou hebben voorkomen dat het type aanval dat doorgestuurd Cox ‘ s tekstberichten.