Im Brief: Wenn Sie SMS für die Zwei-Faktor-Authentifizierung in Ihren Online-Konten verwenden, möchten Sie dies möglicherweise so schnell wie möglich ändern. Laut Forschern von Princeton tun fünf der größten US-Carrier wenig, um Sie vor SIM-Swap-Angriffen zu schützen, und bieten Angreifern eine einfache Möglichkeit, Ihre Passwörter zurückzusetzen und auf Ihre sensiblen Daten zuzugreifen oder sich online auszugeben.

Obwohl es immer eine gute Idee ist, zu verwenden Multi-Faktor-Authentifizierung Die Sicherheit Ihrer Online-Konten bedeutet nicht, dass Sie vor allen Personen, die sensible personenbezogene Daten stehlen möchten, völlig sicher sind.

Durch Studie Fünf der größten Prepaid-Anbieter in den USA von der Princeton University können Sie nicht vor einem sogenannten "SIM-Swap" -Angriff schützen. Wir haben diese Art von Problemen behandelt Diebstahl ein paar mal in der Vergangenheit.

Ein Angreifer überzeugt einen Netzbetreiber, die Telefonnummer des Opfers einer neuen SIM-Karte zuzuweisen, ohne alle Standard-Sicherheitsfragen zur Authentifizierung durchzugehen. Auf diese Weise kann der Betrüger das Konto einer Person entführen und mithilfe der Zwei-Faktor-Authentifizierung Kennwörter auf wichtige Online-Konten wie E-Mail- und Bankkonten zurücksetzen.

Die Forscher haben sich bei Verizon, AT & T, T-Mobile, US Mobile und Tracfone für 50 Prepaid-Konten angemeldet, und ein Großteil des Jahres 2019 suchte nach Möglichkeiten, Call-Center-Betreiber dazu zu bringen, ihre Telefonnummern einer neuen SIM-Karte hinzuzufügen. Sie stellten fest, dass sie selbst nach mehreren erfolglosen Versuchen, bei denen sie angaben, keine roten Fahnen zu generieren, nur erfolgreich auf ein Sicherheitsproblem reagieren mussten, um dies zu tun.




Nachdem sie absichtlich den falschen PIN-Code angegeben hatten, wurden sie gebeten, andere Informationen wie Postleitzahlen oder andere Informationen über den tatsächlichen Kontoinhaber zu überprüfen. Die Forscher teilten ihren Call-Center-Mitarbeitern mit, dass sie sich nicht erinnern konnten, wie das Standardverfahren zu diesem Zeitpunkt nach den letzten beiden Anrufen aus ihren Nummern gefragt zu haben schien.




Dies ist die Schwäche, die den Prozess ausnutzbar macht. Angreifer können auf Websites, die etwas versprechen, leicht jemanden zu bestimmten Nummern anrufen. Die Forscher stellten außerdem fest, dass 17 von 140 Online-Diensten, die SMS für die Zwei-Faktor-Authentifizierung verwenden, keine andere Authentifizierungsmethode verwenden, was es Betrügern noch einfacher macht, Identität zu stehlen oder die persönlichen Daten der Opfer zu stehlen.

Experten von Princeton haben die Netzbetreiber benachrichtigt, und T-Mobile teilte ihnen Anfang dieses Monats mit, dass Anrufprotokolle nicht mehr als Authentifizierungsmethode verwendet werden. Andere wie Verizon und US Mobile, Ich sagte Sie haben weniger als 1 Prozent ihrer SIM-Austauschanfragen über das Telefon erhalten und aktualisieren ständig ihre Cybersicherheitspraktiken.




Das offensichtliche Ergebnis ist, dass Sie SMS nicht als Zwei-Faktor-Authentifizierung verwenden und stattdessen eine Authentifizierungs-App verwenden. Für diejenigen, die ein Android-Handy haben, wird Google physischer Zwei-Faktor-Authentifizierungsschlüsselüber die sicherste Methode.