So schützen Sie Ihre Online-Konten vor SIM-Tauschangriffen

COVID-19 veranlasst viele von uns, Artikel online zu bestellen, und wir verwenden Online-Zahlungsmethoden wie Paypal und Venmo, um die Artikel zu bezahlen.

In Januar 2020 , Forscher an der Zentrum für Informationstechnologiepolitik an der Princeton University veröffentlichte eine Studie das zeigte, dass Hacker die Kontrolle über die Benutzerkonten dieser und anderer Dienste übernehmen konnten.

Ein Problem mit der Multi-Faktor-Authentifizierung

Die Forscher analysierten die Multi-Faktor-Authentifizierung MFA -Verfahren von 140 Online-Sites einschließlich Social Media-Netzwerken, E-Mail-Anbietern und Unternehmenslösungen.

Multi-Faktor-Authentifizierung ist eine Online-Sicherheitsmaßnahme und bezieht sich auf eine Authentifizierungsmethode, für die zwei oder mehr Beweisstücke erforderlich sind, oder Faktoren . Typische Faktoren sind :

• Etwas, das nur der Benutzer weiß - enthält Passwörter, PINs, Kombinationen und Codewörter
• Etwas, das nur der Benutzer hat - umfasst physische Objekte wie Schlüssel, Smartphones, Smartcards, USB-Laufwerke und Token-Geräte
• Etwas, was der Benutzer ist - Beinhaltet Fingerabdrücke, Handflächen-Scannen, Gesichtserkennung, Retina-Scans, Iris-Scans und Sprachüberprüfung.

Die Forscher fanden 17 Unternehmen wo ein Telefon gewesen war SIM getauscht kann dann verwendet werden, um das Passwort eines Kontos zurückzusetzen. SIM-Tauschbetrug Ermöglicht jemandem, die Kontrolle über Ihr Telefon zu übernehmen, und ein Hacker kann dann auf verschiedenen Websites uneingeschränkten Zugriff auf Ihre Online-Profile erhalten.

Zu den betroffenen Unternehmen gehörten Adobe, Amazon, AOL, Blizzard, eBay, Finnair, Gaijin Entertainment, Mailchimp, Microsoft, Online, Paypal, Snapchat, Taxact, Venmo, WordPress, Yahoo und Zoho Mail.

Die Forscher versucht, die Sicherheitsanfälligkeit zu melden an die betroffenen Unternehmen über drei Methoden: direkte Berichterstattung an das Unternehmen, Veröffentlichung auf Bug-Bounty-Plattformen wie HackerOne und durch Kundensupportkanäle .

VERBINDUNG: IHR TELEFON KANN AUCH MIT NEUEM VIBRATIONSANGRIFF AUF DEN TISCH GEHACKT WERDEN

Adobe, Snapchat und eBay haben die Sicherheitsanfälligkeit erkannt und umgehend behoben. Blizzard, Microsoft und Taxact haben die Sicherheitsanfälligkeit behoben, die Forscher jedoch nicht informiert.

Paypal betrachtete den Bericht der Forscher als außerhalb des Geltungsbereichs liegend und behauptete, dass "die Sicherheitsanfälligkeit nicht in Paypal liegt, wie Sie erwähnt haben, dass dies ein Problem mit den Betreibern ist und sie es auf ihrer Seite beheben müssen."

Drei der vier Berichte an Bug Bounty-Programme von Drittanbietern wurden nicht berücksichtigt . Schlimmer noch, HackerOne beschränkt diejenigen, die von HackerOne als zu viele Fehlerberichte eingestuft wurden, darauf, neue einzureichen.

Fünf Unternehmen, AOL, Finnair, Mailchimp, Venmo und WordPress, antworteten den Forschern überhaupt nicht. *

Wie kann jemand Ihr Telefon übernehmen?

SIM steht für S Abonnent I Zahnbildung M Odule, und es ist eine Karte mit einer eingebetteten integrierten Schaltung, die speichert :

• Es ist einzigartig I integriert C Stromkreis C ard I Zahnarzt ICCID, der jede SIM-Karte international identifiziert
• An I international M obil S Abonnent I IMSI-Nummer Dentity, die eine eindeutige Identifikation für alle Mobilfunknetze darstellt
• Sicherheitsauthentifizierungs- und Verschlüsselungsinformationen
• Temporäre Informationen zum lokalen Netzwerk
• Eine Liste der Dienste, auf die der Benutzer Zugriff hat
• Zwei Passwörter: a P persönlich I Zahnbildung N Umber PIN für den normalen Gebrauch und a P persönlich U Blockierung C Ode PUC zum Entsperren der PIN.

Alle GSM G lobal S System für M obile Communications Telefone benötigen eine SIM-Karte.Für CDMA C Ode D ivision M ultiple A Ccess Telefone, nur neuere LTE L ong T erm E Volution Telefone benötigen eine SIM.SIM-Karten werden auch in Satellitentelefonen, Smartwatches und Kameras verwendet.

Um Mobilfunkanbieter vom SIM-Austausch zu überzeugen, verwenden Hacker persönliche Informationen, die sie aufgrund von Datenverletzungen erhalten, oder Informationen, die sie aus Ihren Social-Media-Konten erhalten z. B. Ihr Geburtsdatum oder der Mädchenname Ihrer Mutter.

Eine andere Möglichkeit, wie Hacker Ihr Telefon übernehmen können, besteht darin, zwei Telefonnummern anzurufen. Möglicherweise erhalten Sie einen Anruf oder eine Textnachricht, in der Sie darüber informiert werden, dass Sie einen Wettbewerb gewonnen haben, und eine bestimmte Nummer anzurufen, um Ihren Preis zu erhalten.

Der Grund dafür ist, dass einige Mobilfunkanbieter zwei kürzlich gewählte Nummern anfordern, wenn sich ein Benutzer nicht an seine PIN oder die Antworten auf ihre Fragen erinnern kann. Sicherheitsfragen . Da der Hacker diese Nummern kennt, wird der SIM-Tausch gewährt.

Dieselben Forscher der Princeton University haben die "großen fünf" US-Mobilfunkanbieter - Verizon, AT & T, T-Mobile, Sprint und US Cellular - auf diese Sicherheitsanfälligkeit aufmerksam gemacht. Von den Anbietern hat nur T-Mobile die Verwendung von Anrufprotokollen zur Authentifizierung geändertKunden.

Geschichten von denen, die SIM getauscht wurden

In a Artikel vom Februar 2018 Vice berichtete über mehrere Kontoinhaber, die Opfer eines SIM-Austauschs durch einen bestimmten Mobilfunkanbieter geworden waren.

TC, der einen Tag lang gegen einen entschlossenen Hacker kämpfte, beschrieb seine Erfahrung :

Ich wurde heute Morgen über jemanden informiert, der versucht, auf meine SIM-Karte zuzugreifen. Ich habe den Mitarbeiter angewiesen, mein Konto zu sperren und nichts zuzulassen, es sei denn, ich bin physisch im Geschäft. 4 Stunden später wird mein Telefon mit dem Hinweis "Kein Netzwerk verfügbar" benachrichtigt.Ich wusste, dass der Hacker durchgekommen ist.

[Der Hacker] ... gab vor, ein T-Mobile-Mitarbeiter zu sein und Zugriff auf meine SIM-Karte zu erhalten. ... Ich erhielt Benachrichtigungen über alle meine E-Mail-Konten, dass meine Passwörter geändert wurden. Es dauerte ungefähr eine Stunde, bis ich wieder die Kontrolle über alles hatte, aber ich bin esIch bin mir nicht sicher, was sie greifen konnten ... [ich bin] sitzt gerade da und starrt auf meine E-Mail- und Bankkonten und wartet auf eine Katastrophe.

Ein anderer Benutzer, BW, berichtete, dass seine Carrier-SIM-Karte ihre Nummer getauscht hat, und der Hacker beantragte dann umgehend eine Kreditkarte und erhielt eine 20.000 USD Kreditlinie und ging auf Einkaufstour. Benutzer HT beschrieben mit 2.000 USD über Zelle von ihrem Wells Fargo-Konto abgebucht.

Ein anderer Benutzer hat einen Verlust gemeldet. 2.000 USD durch eine Überweisung und das "Die Zeit zwischen dem Diebstahl meiner Nummer und der Überweisung des Geldes betrug nur 18 Minuten."

Benutzer MC schrieb :

... ich habe verloren 5.200 USD insgesamt 1.999 USD von einem Konto aus 2.500 USD von einem anderen und 600 USD in gegen Bargeld eingelösten Kreditkartenpunkten. Ich habe meine Nummer immer noch nicht zurückbekommen und unzählige Stunden damit verbracht, alle meine Bankkonten zu schließen und wieder zu eröffnen, einen Polizeibericht auszufüllen, mit Banken, Kreditkartenunternehmen zu verhandeln und [der Träger]. Ich musste meine Kreditkarte verzinsen, da mein gesamtes Guthaben vom 9. bis 25. Januar eingefroren war und ich bin mir ziemlich sicher, dass ich einige Scheckrückgabegebühren erhalten werde, da ich mein Überweisungskonto für mein Konto nicht geändert habeAuto-Debits rechtzeitig.

Das Beste war [der Träger] hat mir eine Rechnung geschickt und mir in Rechnung gestellt, dass ich meinen Dienst beendet und meine Nummer portiert habe. Willst du mich veräppeln?!?!

Ist mein Telefon gehackt?

Wenn Sie den Verdacht haben, dass Ihr Telefon gehackt wurde, sollten Sie Folgendes beachten: :

1. Verkürzung der Akkulaufzeit - dies kann daran liegen Schurken-Apps auf Ihrem Telefon Verwendung seiner Ressourcen und Übermittlung von Informationen an einen Server
2. Verlangsamte Leistung - wenn Ihr Telefon häufig einfriert oder wenn bestimmte Anwendungen abstürzen oder sich das Schließen weigert
3. Eine Zunahme der Datennutzung - Dies kann durch unerwünschte Apps verursacht werden, die im Hintergrund ausgeführt werden und Informationen an einen Server zurücksenden.
4. Anrufe oder SMS an nicht erkannte Nummern - Malware zwingt Ihr Telefon möglicherweise dazu, Premium-Nummern anzurufen.
5. Eine Zunahme der Popup-Fenster - Dies können Adware- oder Phishing-Versuche sein, bei denen Sie aufgefordert werden, vertrauliche Informationen einzugeben. Während Sie ein Popup durch Klicken auf ein "X" schließen können, haben einige Popups ein falsches "X", das Sie tatsächlich zu einem führt bösartige Website
6. Neue Apps ohne Ihre Erlaubnis installiert - auch wenn Ihr Telefon häufig abstürzt, wird es neu gestartet
7. Ungewöhnliche Aktivität auf mit Ihrem Telefon verknüpften Konten - wenn Sie Benachrichtigungen über das Zurücksetzen des Passworts oder die Eröffnung neuer Konten erhalten.

So vermeiden Sie, dass die SIM-Karte ausgetauscht wird

Um einen SIM-Austausch zu vermeiden, können Sie Ihre Online-Konten mit a verknüpfen. V Büro o ver I Internet P VoIP-Nummer Rotocol wie Google Voice oder Skype. Google Voice-Nummern sind nicht mit echten SIM-Karten verknüpft, daher sind sie schwerer zu entführen.

Eine andere Methode, mit der Sie einen SIM-Austausch vermeiden können, ist das Hinzufügen einer PIN zu Ihrer Handy Konto.

Für AT & T :

1. Gehen Sie zu Ihrem Kontoprofil, melden Sie sich an und wählen Sie Anmeldeinformationen .
2. Unter dem WLAN-Passcode Abschnitt auswählen Zusätzliche Sicherheit verwalten .
3. Geben Sie Ihr Passwort ein, wenn Sie dazu aufgefordert werden.

Für Verizon :

1. Gehen Sie zu diesem Website .
2. Melden Sie sich in Ihrem Konto an und geben Sie die gewünschte PIN zweimal ein.
3. Klicken Senden .

Für T-Mobile :

1. Richten Sie eine PIN ein, wenn Sie sich zum ersten Mal bei Ihrem anmelden. Mein T-Mobile Konto.
2. Auswählen Textnachrichten oder Sicherheitsfrage und befolgen Sie die Anweisungen.

Für Sprint :

1. Melden Sie sich in Ihrem Konto an.
2. Klicken Sie auf Mein Sprint und dann auswählen Profil und Sicherheit .
3. Wählen Sie Sicherheitsinformationen um Ihre PIN oder Sicherheitsfragen zu aktualisieren.

In dieser Zeit der sozialen Distanzierung ist es genauso wichtig, auf die Gesundheit Ihres Telefons und Ihrer Online-Konten zu achten wie auf Ihre eigene Gesundheit.