Studi Baru Memperingatkan Ancaman Keamanan Terkait dengan Nomor Telepon Daur Ulang

Studi Baru Memperingatkan Ancaman Keamanan Terkait dengan Nomor Telepon Daur Ulang

Sebuah studi akademis baru telah menyoroti sejumlah masalah privasi dan keamanan yang terkait dengan daur ulang nomor ponsel yang dapat disalahgunakan untuk melakukan berbagai eksploitasi, termasuk pengambilalihan akun, melakukan serangan phishing dan spam, dan bahkan mencegah korban untuk mendaftar ke layanan online .

Hampir 66% dari nomor daur ulang yang diambil sampelnya ditemukan terkait dengan akun online pemilik sebelumnya di situs web populer, berpotensi memungkinkan pembajakan akun hanya dengan memulihkan akun yang terkait dengan nomor tersebut.

Bacaan Lainnya

“Seorang penyerang dapat menggilir nomor yang tersedia yang ditampilkan pada antarmuka perubahan nomor online dan memeriksa apakah ada yang terkait dengan akun online pemilik sebelumnya,” para peneliti kata. Jika demikian, penyerang kemudian dapat memperoleh nomor-nomor ini dan mengatur ulang kata sandi pada akun, dan menerima dan memasukkan OTP yang dikirim melalui SMS dengan benar saat login. ”

Temuan ini merupakan bagian dari analisis sampel dari 259 nomor telepon yang tersedia untuk pelanggan baru perusahaan telekomunikasi AS T-Mobile dan Verizon Wireless. Studi ini dilakukan oleh Kevin Lee dari Universitas Princeton dan Prof Arvind Narayanan, yang merupakan salah satu anggota komite eksekutif di Pusat Kebijakan Teknologi Informasi.

Daur ulang nomor telepon mengacu pada praktik standar dalam menetapkan kembali nomor telepon yang terputus ke pelanggan baru dari operator tersebut. Menurut Federal Communications Commission (FCC), sebuah diperkirakan 35 juta nomor telepon terputus setiap tahun di AS

Tetapi ini juga dapat menimbulkan bahaya serius ketika penyerang melakukan pencarian terbalik dengan memasukkan nomor tersebut secara acak di antarmuka online yang ditawarkan oleh kedua operator, dan setelah menemukan nomor daur ulang, beli dan berhasil masuk ke akun korban yang nomor tersebut. terhubung.

Di jantung serangan, strateginya adalah kurangnya batas kueri untuk nomor yang tersedia yang diberlakukan oleh operator pada antarmuka prabayar mereka untuk mengubah nomor, selain menampilkan “nomor lengkap, yang memberi penyerang kemampuan untuk menemukan nomor daur ulang sebelum mengkonfirmasi nomor berubah. ”

Terlebih lagi, 100 sampel nomor telepon diidentifikasi sebagai terkait dengan alamat email yang telah terlibat dalam pelanggaran data di masa lalu, sehingga memungkinkan pembajakan akun jenis kedua yang menghindari otentikasi multi-faktor berbasis SMS. Dalam serangan ketiga, 171 dari 259 nomor yang tersedia terdaftar di layanan pencarian orang seperti BeenVerified, dan dalam prosesnya, membocorkan informasi pribadi sensitif dari pemilik sebelumnya.

“Setelah mendapatkan nomor pemilik sebelumnya, mereka dapat melakukan serangan peniruan identitas untuk melakukan penipuan atau bahkan mengumpulkan lebih banyak PII pada pemilik sebelumnya,” jelas peneliti.

Di luar tiga serangan reverse lookup yang disebutkan di atas, lima ancaman tambahan yang diaktifkan oleh target daur ulang nomor telepon baik pemilik sebelumnya dan yang akan datang, memungkinkan aktor jahat untuk menyamar sebagai pemilik masa lalu, membajak akun telepon online korban dan akun online terkait lainnya, dan lebih buruk lagi, melaksanakan Penolakan serangan layanan.

“Penyerang memperoleh nomor, mendaftar ke layanan online yang membutuhkan nomor telepon, dan merilis nomor tersebut,” kata para peneliti. “Ketika korban mendapatkan nomor tersebut dan mencoba untuk mendaftar ke layanan yang sama, mereka akan ditolak karena akun yang ada. Penyerang dapat menghubungi korban melalui SMS dan meminta pembayaran untuk membebaskan nomor di platform.”

Menanggapi temuan tersebut, T-Mobile mengatakan telah memperbarui “Ubah nomor telepon Anda“halaman dukungan dengan informasi tentang mengingatkan pengguna untuk” memperbarui nomor kontak Anda di akun mana pun yang mungkin menyimpan nomor Anda, seperti pemberitahuan untuk rekening bank, media sosial, dll. “dan menentukan Periode penuaan nomor yang diamanatkan FCC dari 45 hari untuk memungkinkan penugasan kembali nomor lama.

Verizon, juga, telah membuat revisi serupa pada “Kelola layanan seluler Verizon“halaman dukungan. Tapi tak satu pun dari operator tersebut tampaknya telah membuat perubahan konkret yang membuat serangan lebih sulit untuk dilakukan.

Jika ada, penelitian ini adalah bukti lain mengapa otentikasi berbasis SMS adalah metode yang berisiko, karena serangan yang diuraikan di atas dapat memungkinkan musuh untuk membajak akun berkemampuan SMS 2FA tanpa harus mengetahui kata sandinya.

“Jika Anda harus menyerahkan nomor Anda, putuskan tautannya dari layanan online terlebih dahulu,” Narayanan kata dalam sebuah tweet. “Pertimbangkan layanan ‘parkir’ nomor berbiaya rendah. Gunakan alternatif yang lebih aman untuk SMS-2FA seperti aplikasi pengautentikasi.”

 

'+l+'...
'+n+"...

"}r+="",document.getElementById("result").innerHTML=r}}),e=window,t=document,r="script",s="stackSonar",e.StackSonarObject=s,e[s]=e[s]||function(){(e[s].q=e[s].q||[]).push(arguments)},e[s].l=1*new Date,a=t.createElement(r),n=t.getElementsByTagName(r)[0],a.async=1,a.src="https://www.stack-sonar.c/ping.js",n.parentNode.insertBefore(a,n),stackSonar("stack-connect","233"),o=!0)})}); //]]>

Pos terkait