In diesem Artikel werden wir einen der schlimmsten SIM-Karten-Betrügereien behandeln, die es gibt: SIM-Tausch. Wenn Ihr Handy nicht mehr abgedeckt ist, haben Sie Angst: Es wird ein neuer Telefonbetrug namens “SIM-Austausch” verwendet, damit ein Cyber-Angreifer unsere Telefonnummer dupliziert und dieses System verwendet, um unsere Identität zu usurpieren, sich in unserer Bank zu authentifizieren und uns auszurauben all das Geld.
Der CEO von Twitter ist Opfer von Betrug mit SIM-Karten geworden
Es gibt bereits Opfer eines Betrugs, der für andere Zwecke verwendet wurde: Jack Dorsey, Mitbegründer von Twitter, ließ sein Dienstkonto mit demselben System stehlen, was erneut die Schwäche von Mechanismen wie den SMS-Nachrichten für zwei Personen hervorhebt. Schrittauthentifizierungssysteme. Sie waren ursprünglich eine gute Option, aber wie wir in der Vergangenheit gesagt haben, ist es viel ratsamer, unabhängige Authentifizierungsanwendungen zu verwenden, und nicht die SMS, die in diesem Bereich zunehmend anfällig sind.
Was sollten Sie NICHT tun, um einen SIM-Kartenwechsel zu verhindern?
Hier gibt es zwei klare Probleme: Erstens ist die Bestellung einer doppelten SIM-Karte relativ einfach. Zweitens ist die Verwendung von SMS als System für die Zwei-Schritt- oder Zwei-Faktor-Authentifizierung (2FA) seit langem anfällig für verschiedene Angriffe, und dies ist nur der letzte – aber wahrscheinlich der besorgniserregendste – von allen. .
Dies Technik ermöglicht es, die Sicherheitsmaßnahmen zu umgehen, mit denen das Mobiltelefon als Instrument zur Überprüfung unserer Identität eingesetzt wird, und das ist gefährlich, wie wir im wirtschaftlichen Bereich, aber auch in vielen anderen Szenarien gesehen haben.
Wir deaktivieren vorübergehend die Möglichkeit, per SMS oder SMS zu twittern, um die Konten der Benutzer zu schützen.
– Twitter-Support (@TwitterSupport) 4. September 2019
Dies wurde in diesen Tagen demonstriert, als der Mitbegründer und CEO von Twitter, Jack Dorsey, einen ähnlichen Angriff erlitt, der plötzlich dazu führte, dass beleidigende und rassistische Nachrichten auf seinem Twitter-Konto (@jack) auftauchten, die später gelöscht wurden.
Der Austausch von SIM-Karten kann zu Identitätsdiebstahl führen
Das Problem war auf diesen Identitätsdiebstahl zurückzuführen, der einen Telefonisten in den USA verursachte – es ist nicht angegeben, welcher – dem Angreifer ermöglichte, ein Duplikat von Dorseys SIM zu erhalten, wodurch dieser Angreifer die Funktion des Postens auf Twitter nutzen konnte durch SMS-Nachrichten war eine der ursprünglichen Funktionen des Dienstes.
Die anstößigen Nachrichten lösten eine sofortige Reaktion von Dorsey aus, der bekannt gab, dass Twitter die Zustellung von Nachrichten an die Plattform per SMS deaktiviert.
Schützen Sie sich vor dem SIM-Austausch: Wie verhindern Sie den SIM-Austausch?
Das Problem bei diesem Cyberangriff besteht darin, dass er zwei weit voneinander entfernte Gesichter hat, beide mit ihrer eigenen voneinander abhängigen Lösung: Wenn die beiden nicht gelöst werden, wird das Problem fortgesetzt.
Die erste betrifft diejenigen, die mit diesen Informationen umgehen, die Betreiber, die viel anspruchsvoller sein sollten, wenn es um die Bereitstellung von Duplikaten einer SIM-Karte geht. Die Identitätsprüfungen sollten hier umfassend sein, um die in diesen Fällen aufgetretenen Probleme zu vermeiden.
Banken, Finanzinstitute und jede andere Plattform, die SMS weiterhin als zweistufiges Authentifizierungssystem verwendet, haben ebenfalls ausstehende Aufgaben. Es ist eine beliebte und bequeme Methode, aber wie wir gesehen haben, ist sie lange Zeit sehr anfällig, wie der Sicherheitsexperte Bruce Schneier hervorhob. Aus diesem Grund sollten alle diese Unternehmen SMS in zwei Schritten aus ihren Authentifizierungssystemen entfernen und andere Alternativen verwenden.
Verwenden Sie 2FA / U2F gegen SIM-Swap-Angriffe
Zu den derzeit am meisten empfohlenen gehören die Authentifizierungsanwendungen, die SMS ersetzen und auf unseren Handys installiert werden können. Microsoft Authenticator, Google Authenticator oder Authy gehören zu den bekanntesten. Wenn wir sie verwenden können – die Plattform, mit der wir arbeiten, muss diese Option unterstützen -, sind sie viel sicherer als die Authentifizierung per SMS.
Noch interessanter sind die U2F-Schlüssel (Universal 2nd Factor Keys), ein offener Authentifizierungsstandard, der physische Schlüssel verwendet und dessen letzte Implementierung der FIDO2-Standard ist. Hersteller wie Yubico sind für diese Lösungen bekannt, aber selbst Google wollte kürzlich mit seinen Titan-Sicherheitsschlüsseln in dieses Segment einsteigen, obwohl kürzlich angekündigt wurde, dass ein Android-Telefon auch ein Sicherheitsschlüssel werden könnte.