2021/12/30

T- Mobile com nova vaga de ataques SIM Swap

Poucos meses após mais um embaraçoso roubo de dados, a T-Mobile admite ter caído novamente em ataques SIM Swap.

Os ataques SIM Swap podem não ser muito frequentes, mas os seus efeitos são devastadores para os clientes - e o motivo pelo qual os especialistas de segurança há muito alertam para o facto de não se dever utilizar códigos enviados via SMS como método "seguro" de autenticação. Estes ataques consistem em enganar, ou subornar, um assistente de uma operadora de telecomunicações de modo a transferir a conta de um cliente para um novo cartão SIM. Algo que normalmente é feito através de engenharia social, com uma história de algo como terem tido o smartphone roubado e precisarem urgentemente de recuperar o acesso à conta, ou seguindo qualquer outro argumento cuidadosamente concebido para o efeito.

Quando resulta, como mais uma vez aconteceu neste caso da T-Mobile, o cliente legítimo vê o seu cartão SIM ser bloqueado, e o controlo da sua conta ser transferido para os atacantes, que assim ficam com o seu número de telefone e podem fazer coisas como apoderar-se de outros serviços usando o sistema de recuperação através do número de telefone, ou receberem códigos 2FA de autenticação enviados via SMS, etc. etc.

É um cenário preocupante por si só, mas ainda mais quando se relembra que, há quase dois anos, um teste já tinha revelado as falhas das operadoras:
Quão assustador é este tipo de ataque? Bastará referir que em cada 10 tentativas, os investigadores foram capazes de transferir o número da vítima para um novo cartão SIM todas as vezes no caso da AT&T, T-Mobile e Verizon - os três maiores operadores de telecomunicações nos EUA. E embora outros operadores se tenham portado um pouco melhor (Tracfone, 6 vezes bem sucedidas; US Mobile, 3 vezes), continuam a ser resultados péssimos que revelam que muito há a fazer por parte dos operadores para lidarem com estes ataques "SIM swap".
Dois anos mais tarde, vemos que pouco foi feito a este nível, e que usar o número de telefone para efeitos de autenticação, funciona mais como vulnerabilidade do que como elemento de segurança - como há muito tem sido alertado.

Publicado por Carlos Martins às 12:00


Sem comentários:

Enviar um comentário (problemas a comentar?)

Subscrever: Enviar feedback (Atom)