A la carta: Si utilitzeu SMS per a l’autenticació de dos factors als vostres comptes en línia, és possible que vulgueu canviar-ho tan aviat com sigui possible. Segons investigadors de Princeton, cinc de les companyies aèries més grans dels Estats Units fan poc per protegir-vos dels atacs d'intercanvi de SIM, oferint als atacants una manera senzilla de restablir les vostres contrasenyes i accedir a les vostres dades sensibles o suplantar la identitat en línia.

Tot i que sempre és una bona idea utilitzar-la autenticació multifactor Mantenir segurs els vostres comptes en línia no significa que estigueu completament a salvo de qualsevol persona que vulgui robar dades personals sensibles.

Per estudiar Cinc dels operadors prepagats més grans dels Estats Units, de la Universitat de Princeton, no us poden protegir del que s’anomena un atac “swap SIM”. Hem tractat aquest tipus de problemes Robatori uns quants vegades en el passat.

La manera com funciona un atacant és convèncer un transportista per reassignar el número de telèfon de la víctima a una nova targeta SIM sense passar per totes les preguntes de seguretat estàndard per autenticar-se. Això permet que el defraudador segresti el compte d'algú i faci servir l'autenticació de dos factors per restablir les contrasenyes a comptes en línia importants, com ara comptes de correu electrònic i bancaris.

Els investigadors es van inscriure a 50 comptes de prepagament a Verizon, AT&T, T-Mobile, US Mobile i Tracfone, i bona part del 2019 van buscar maneres d’enganyar els operadors de centres de trucades perquè afegissin els seus números de telèfon a una nova SIM. El que van trobar va ser que, fins i tot després de diversos intents fallits en què van informar de no generar cap bandera vermella, només havien de respondre amb èxit a un problema de seguretat per fer-ho.




Després de proporcionar deliberadament un codi PIN incorrecte, se'ls va demanar que verifiquessin altres dades, com ara codis postals o altra informació sobre el titular real del compte. Els investigadors van dir als treballadors del seu centre de trucades que no recordaven quin procediment estàndard en aquest moment semblava preguntar sobre les dues darreres trucades realitzades amb els seus números.




Aquesta és la debilitat que fa que el procés sigui explotable. Els atacants poden trucar fàcilment a algú a números específics mitjançant llocs web que prometen alguna cosa. Els investigadors també van descobrir que 17 de 140 serveis en línia que utilitzen SMS per a l’autenticació de dos factors no utilitzen cap altre mètode per autenticar-se, cosa que facilita encara més als estafadors robar identitat o robar informació personal de les víctimes.

Els experts de Princeton van notificar als operadors de telefonia mòbil i T-Mobile els van dir a principis d’aquest mes que ja no feia servir registres de trucades com a mètode d’autenticació. Altres com Verizon i US Mobile, jo vaig dir Han rebut menys de l'1% de les seves sol·licituds d'intercanvi de SIM per telèfon i actualitzen constantment les seves pràctiques de ciberseguretat.




El resultat òbvia és mantenir-se allunyat d’utilitzar els SMS com a forma d’autenticació de dos factors i, en canvi, utilitzar una aplicació d’autenticació. Per a aquells que tinguin un telèfon Android, Google ho farà clau d'autenticació física de dos factorssobre el mètode més segur.