11 ene. 2020

Investigación prueba vulnerabilidades de SIM Swapping en operadores inalámbricos y sitios en línea [Paper]

Un estudio académico de la Universidad de Princeton descubrió que cinco de los principales operadores inalámbricos prepagos de EE.UU. son vulnerables a los ataques de intercambio de SIM (SIM Swapping).

Un intercambio de SIM ocurre cuando un atacante llama a un proveedor de telefonía móvil y engaña al personal de la empresa de telecomunicaciones para que cambie el número de teléfono de una víctima a una tarjeta SIM controlada por el atacante. Esto permite al atacante restablecer contraseñas y obtener acceso a cuentas sensibles en línea, como bandejas de entrada de correo electrónico, portales de banca electrónica o sistemas de comercio de criptomonedas.
Todo el año pasado, los académicos de Princeton pasaron su tiempo probando a cinco proveedores principales de telecomunicaciones de Estados Unidos para ver si podían engañar a los empleados del centro de llamadas para que cambiaran el número de teléfono de un usuario a otra SIM sin proporcionar las credenciales adecuadas.

Según el equipo de investigación, se encontró que AT&T, T-Mobile, Tracfone, US Mobile y Verizon Wireless estaban utilizando procedimientos vulnerables con sus centros de atención al cliente, procedimientos que los atacantes podrían usar para realizar ataques de intercambio de SIM.

Además, el equipo de investigación también examinó 140 servicios y sitios web en línea y analizó cuál de estos atacantes podría emplear un intercambio de SIM para secuestrar la cuenta de un usuario. Según el equipo de investigación, se encontró que 17 de los 140 sitios web eran vulnerables.

Investigación de telecomunicaciones de EE. UU.

Para la parte de su investigación dirigida a las empresas de telecomunicaciones de Estados Unidos, el equipo de investigación dijo que creó 50 cuentas prepagas, 10 con cada operador. Para cada cuenta, el equipo de investigación utilizó las 50 tarjetas SIM en un teléfono único y para llamadas reales, a fin de crear un historial de llamadas realista.

Cuando llegó el momento, el equipo de investigación llamó al centro de atención al cliente de cada empresa de telecomunicaciones y aplicó un procedimiento similar.

La idea era que el atacante llamara al centro de soporte de una empresa de telecomunicaciones para solicitar un cambio de tarjeta SIM, pero intencionalmente proporciona un PIN incorrecto y detalles del propietario de la cuenta.

"Al proporcionar respuestas incorrectas a preguntas personales como la fecha de nacimiento o el código postal de facturación, explicamos que habíamos sido descuidados al registrarnos, posiblemente habíamos proporcionado información incorrecta o no podíamos recordar la información que habíamos usado", dijeron explicando los motivos que proporcionaron al personal del centro de llamadas.

En este punto, después de fallar los dos primeros mecanismos de autenticación (PIN y detalles del propietario de la cuenta), los operadores de centros de llamadas de telecomunicaciones deben, según sus procedimientos, pasar a un tercer mecanismo durante el cual solicitan al propietario de la cuenta que brinde detalles sobre las últimas dos llamadas realizadas recientemente.

El equipo de investigación dijo que un atacante podría engañar a una víctima para que haga llamadas a números específicos utilizando téncicas de ingeniería social. Después de que el atacante haya engañado al propietario de la tarjeta SIM para que haga esas dos llamadas, puede usar estos detalles para llamar al centro de llamadas de la empresa de telecomunicaciones y realizar un intercambio de SIM.

Los investigadores de Princeton dijeron que pudieron engañar a los cinco operadores inalámbricos prepagos de EE.UU. utilizando este escenario.

Cuando publicaron su investigación, cuatro proveedores seguían utilizando el procedimiento vulnerable, a pesar de que el equipo de investigación notificó a todas las partes afectadas. De los cinco, T-Mobile le dijo al equipo de investigación que descontinuaron el uso de registros de llamadas para la autenticación del cliente después de revisar su investigación.

Servicio de investigación en línea

Pero los investigadores de Princeton también llevaron su estudio un paso más allá. Para la siguiente etapa de su investigación, querían ver qué podían hacer una vez que realizaran un ataque de intercambio de SIM.

Para esto, analizaron los procedimientos de inicio de sesión y autenticación de múltiples factores (MFA) empleados por 140 de los sitios y servicios en línea más populares, que van desde redes sociales hasta proveedores de correo electrónico, y desde sitios de comercio de criptomonedas hasta soluciones empresariales.

Descubrieron que en 17 sitios, una vez que lograron secuestrar el número de teléfono de un usuario a través de un intercambio de SIM, se puede restablecer la contraseña de la cuenta y obtener acceso completo al perfil en línea de la víctima, sin ningún otro sistema de seguridad para autenticar al usuario.

En otras palabras, el proceso de recuperación de cuenta para estos 17 sitios se basó únicamente en un mecanismo basado en SMS. Una vez que un atacante comprometió el número de teléfono de una víctima, la contraseña puede restablecerse sin tener que controlar el correo electrónico del usuario o proporcionar ningún otro secreto de usuario (preguntas de restablecimiento de contraseña, fecha de nacimiento, etc.)

Los resultados completos para el análisis de los 140 sitios web están disponibles aquí [PDF]. El equipo de investigación redactó los nombres de los 17 servicios vulnerables de su investigación para evitar que los intercambiadores de SIM se concentren en esos sitios para futuros ataques.

Fuente: ZDNet

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!