Firmy mogą po cichu przekierować Twoje SMS-y do hakerów, czasami za jedyne 16 USD


Niedawno odkryto atak na wiadomości SMS, który jest prawie niewidoczny dla ofiar i pozornie usankcjonowany przez branżę telekomunikacyjną, ujawniony w raport autorstwa Płyta główna. Atak wykorzystuje usługi zarządzania wiadomościami tekstowymi, których celem jest ciche przekierowywanie wiadomości tekstowych od ofiary do hakerów, dając im dostęp do wszelkich kodów dwuskładnikowych lub linków logowania, które są wysyłane za pośrednictwem wiadomości tekstowej.

Czasami firmy świadczące usługę nie wysyłają żadnych wiadomości na przekierowywany numer ani z prośbą o pozwolenie, ani nawet z powiadomieniem właściciela, że ​​ich SMS-y trafiają teraz do kogoś innego. Korzystając z tych usług, napastnicy nie tylko mogą przechwytywać przychodzące wiadomości tekstowe, ale także mogą odpowiadać.

Joseph Cox, the Płyta główna reporterowi, ktoś z powodzeniem przeprowadził atak na jego numer i kosztowało to atakującego tylko 16 dolarów. Kiedy skontaktował się z innymi firmami świadczącymi usługi przekierowania SMS-ów, niektóre z nich zgłosiły, że widzieli już wcześniej tego rodzaju atak.

Konkretna firma Płyta główna Used podobno naprawił exploit, ale istnieje wiele innych podobnych do niego – i wydaje się, że nie ma nikogo, kto mógłby rozliczać się z firm. Na pytanie, dlaczego ten typ ataku jest w ogóle możliwy, AT&T i Verizon po prostu skierowały The Verge aby skontaktować się z CTIA, organizacją branżową branży bezprzewodowej. CTIA nie było od razu dostępne do komentowania, ale zostało powiedziane Płyta główna że „nie wskazywało na jakąkolwiek złośliwą aktywność związaną z potencjalnym zagrożeniem lub że miało to wpływ na klientów”.

Hakerzy znaleźli wiele sposobów wykorzystania SMS-ów i systemów komórkowych w celu uzyskania dostępu do tekstów innych osób – takich metod jak Wymiana karty SIM i Ataki SS7 były widziane na wolności od kilku lat, a czasami nawet były używany przeciwko celom o wysokim profilu. Ale dzięki zamianie karty SIM dość łatwo jest stwierdzić, że jesteś atakowany: Twój telefon całkowicie rozłączy się z siecią komórkową. Jednak w przypadku przekierowywania SMS-ów może minąć trochę czasu, zanim zauważysz, że ktoś inny odbiera Twoje wiadomości – więcej niż wystarczająco dużo czasu, aby atakujący mogli przejąć Twoje konta.

Głównym problemem związanym z atakami SMS-owymi są konsekwencje, jakie mogą mieć dla bezpieczeństwa innych kont. Jeśli atakujący może uzyskać link do resetowania hasła lub kod wysłany na Twój numer telefonu, będzie miał do niego dostęp i będzie mógł uzyskać dostęp do Twojego konta. Wiadomości tekstowe są również czasami używane do wysyłania linków logowania, takich jak Płyta główna znalezione w Postmates, WhatsApp i Bumble.

Reklama

Służy to również jako przypomnienie, że należy unikać SMS-ów ze względów związanych z bezpieczeństwem, jeśli to możliwe – w przypadku uwierzytelniania dwuskładnikowego lepiej jest użyć aplikacji takiej jak Google Authenticator lub Authy. Niektóre menedżery haseł mają nawet wbudowaną obsługę 2FA, na przykład 1Password lub wielu innych bezpłatnych menedżerów, których polecamy. To powiedziawszy, nadal istnieją usługi i firmy, które używają wiadomości tekstowych tylko jako drugi czynnik – branża bankowa jest z tego niesławna. W przypadku tych usług warto upewnić się, że hasło jest bezpieczne i niepowtarzalne, a następnie naciskać, aby odeszli od SMS-ów i aby branża komórkowa pracowała nad zwiększeniem bezpieczeństwa.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

W Internecie pojawia się podstawowa jednostka SKU Intel „Meteor Lake”: Core Ultra 5 115U

Rodzina procesorów mobilnych Intel „Meteor Lake”. wystartował w grudniu ubiegłego roku, przy czym wstępna selekcja obejmowała jedenaście jednostek SKU „Core Ultra”. W...

Shazam w Wear OS działa teraz bez Twojego telefonu

Aplikacja Shazam na Wear OS właśnie doczekała się fajnej aktualizacji: może teraz działać niezależnie od Twojego telefonu z Androidem.Aktualizacja, która była zauważony przez...

Relic Entertainment uniezależnia się i ogłasza oddzielenie od Segi

Dla naszych zawodników i fanów mamy ważny komunikat. Z inwestorem zewnętrznym, Reliktowa rozrywka stanie się niezależnym studiem deweloperskim. To dla nas...
Advertisment