Como os atacantes podem explorar dados de usuários violados da T-Mobile

Views: 98
0 0
Read Time:8 Minute, 22 Second

A T-Mobile confirmou uma violação de dados que afetou quase 50 milhões de pessoas, incluindo assinantes atuais, antigos e potenciais. Os detalhes expostos diferiram entre diferentes tipos de clientes, portanto, o nível de risco ao qual os usuários estão expostos varia.

As vítimas da T-Mobile ou de qualquer outra violação em que os dados pessoais são roubados devem estar cientes dos ataques subsequentes e tomar medidas para mitigá-los. Isso inclui phishing baseado em SMS/texto, troca de SIM e portabilidade não autorizada de números.

A violação de dados da T-Mobile

No domingo, a Motherboard informou que hackers estavam anunciando à venda um despejo de dados que alegavam conter os números do Seguro Social (SSNs), números de telefone, nomes, endereços físicos, números de Identidade Internacional de Equipamentos Móveis (IMEI) e informações de carteira de motorista para 100 milhões de assinantes da T-Mobile. Na segunda-feira, a T-Mobile confirmou que investigou as reivindicações e encontrou evidências de acesso não autorizado a alguns dos dados da empresa, mas não especificou que tipo de dados foram afetados.

Na quarta-feira, a operadora de celular revelou que os dados comprometidos incluíam nomes completos, datas de nascimento, SSNs e informações de carteira de motorista/ID para 7,8 milhões de clientes pós-pagos atuais da T-Mobile, bem como mais de 40 milhões de clientes antigos ou potenciais que solicitaram crédito na T-Mobile. Nenhum número de telefone, número de conta, PIN, senha ou informação financeira foi exposto para esses usuários. No entanto, nomes, números de telefone e PINs de conta foram expostos para 850.000 clientes pré-pagos ativos da T-Mobile.

O PIN da conta é uma informação de segurança importante que os representantes de suporte ao cliente da T-Mobile usam para autenticar os titulares de contas durante as chamadas de atendimento ao cliente. É obrigatório para todas as contas e tem entre seis e 15 dígitos. Se um invasor estiver de posse das informações pessoais, número de telefone e PIN de um usuário, ele poderá ligar para o suporte ao cliente e potencialmente se passar pelo proprietário da conta para fazer modificações em suas contas, permitindo vários ataques.

Phishing por SMS e perfis de vítimas

Uma ameaça comum após qualquer violação de dados é phishing, uma forma de engenharia social em que atacantes usam as informações privadas roubadas para construir mensagens críveis personificando empresas ou marcas. No passado, atacantes usaram dados vazados de uma violação para se passar pela mesma empresa onde a violação ocorreu, às vezes até mesmo usando a própria violação para fazer com que os usuários realizassem ações que expunham informações adicionais ou levassem a infecções por malware.

No caso de comunicações móveis, tais ataques de phishing podem ser lançados por mensagens SMS, personificando a operadora de celular. À primeira vista, no caso dos 48 milhões de clientes atuais, antigos e potenciais da T-Mobile cujos detalhes pessoais foram expostos, os atacantes não podem direcioná-los diretamente com phishing por SMS porque seus números de telefone não foram expostos. No entanto, muitos conjuntos de dados vazados na internet de inúmeras outras violações incluem números de telefone, e os atacantes poderiam potencialmente cruzar a referência dos dados da violação da T-Mobile a dados vazados anteriormente para descobrir os números de telefone de pelo menos um subconjunto dos indivíduos afetados, já que as pessoas não alteram seus números de telefone com frequência.

Isso também funciona ao contrário. Para os 850.000 clientes pré-pagos que tiveram seus nomes, números de telefone e PINs expostos, os atacantes poderiam usar dados de violações anteriores para completar perfis que não tinham números de telefone, por exemplo. Quanto mais violações ocorrem, mais fácil é para os atacantes criar perfis completos de vítimas e lançar ataques cada vez mais difíceis de detectar por empresas e usuários.

Troca de SIM e portabilidade de números de celular

Outro tipo de ataque específico para usuários de telefone é a troca de SIM. É quando um invasor consegue convencer uma operadora de celular a associar o número de telefone de uma vítima a um cartão SIM sob seu controle para receber todas as suas chamadas telefônicas e mensagens de texto. Mudar um número de telefone para um cartão SIM diferente é um serviço legítimo que as operadoras de celular usam quando o dispositivo de um assinante é perdido ou roubado ou quando seu cartão SIM existente para de funcionar ou precisa ser atualizado ou alterado por razões técnicas.

Os ataques de troca de SIM ganharam popularidade entre os atacantes nos últimos anos porque lhes permitem ignorar sistemas de segurança que dependem de códigos de uso único enviados por SMS ou comunicados por meio de uma chamada telefônica por sistemas automatizados. A verificação por telefone geralmente é a opção padrão oferecida pelos serviços on-line para autenticação de dois fatores, verificação e recuperação de identidade da conta, autorizações de transações bancárias e muito mais. Além disso, mesmo quando os usuários permitem que um autenticador de aplicativos móveis gere códigos únicos para um serviço online, SMS ou voz ainda permanecem ativados como uma opção de failover e podem ser abusados, a menos que explicitamente desativados.

A troca de SIM geralmente é um ataque direcionado, onde o invasor construiu um perfil da vítima e identificou um ativo valioso que vale a pena comprometer e os vetores de ataque necessários para fazê-lo. Em 2019, o escritório do FBI em São Francisco emitiu um alerta de que os criminosos estavam usando ataques de troca de SIM para atingir usuários que detinham ativos consideráveis de criptomoedas. Eles descreveram a cadeia de ataque da seguinte forma:

  • Identifique a vítima: Identifique uma vítima que provavelmente possui uma grande quantidade de moeda digital, particularmente criptomoeda. Identifique o número de telefone celular da vítima e a operadora de celular.
  • Troque o cartão SIM: Projete socialmente um representante de atendimento ao cliente da empresa de telefonia móvel para portar o número de telefone da vítima para um cartão SIM e telefone no controle dos atacantes.
  • Redefineções de senha: Inicie redefinições de senha no e-mail, armazenamento em nuvem e contas de mídia social da vítima (as redefinições de senha geralmente são realizadas por mensagens de texto para o número de telefone da vítima).
  • Acesse contas: Obtenha acesso às contas da vítima e identifique chaves de moeda digital, carteiras e contas que podem ser armazenadas nelas. Derrote qualquer autenticação de dois fatores baseada em SMS ou aplicativo móvel em qualquer conta com controle do número de telefone da vítima.
  • Roubar moeda: Transfira a moeda digital da conta da vítima para contas controladas pelos atacantes.

No ano passado, o Congresso dos EUA enviou uma carta à FTC instando a agência a forçar as operadoras de celular a tomar medidas para proteger os usuários contra ataques de troca de SIM.

Uma variação desse ataque é a portabilidade de números de celular, onde atacantes que se fazem passar pela vítima convencem sua operadora a portar seu número para um cartão SIM diferente em uma rede diferente. Este é um serviço legítimo que permite que os assinantes móveis mantenham o mesmo número de telefone quando mudam para um provedor de serviços diferente. Em fevereiro, a T-Mobile enviou a alguns de seus clientes uma carta de notificação de violação de dados informando que suas contas estavam comprometidas e os atacantes portaram seus números para uma operadora diferente sem autorização.

Os PINs da conta T-Mobile destinam-se explicitamente a impedir a troca de SIM ou a portabilidade de números, pois servem como um método adicional para verificar se o titular da conta é a pessoa que faz a solicitação. Após essa nova violação, a empresa redefiniu os PINs dos 850.000 clientes pré-pagos que tiveram seus números e números de telefone expostos e incentivou os outros 48 milhões de clientes pós-pagos atuais, antigos e potenciais a alterar seus PINs, embora até agora não haja evidências de que seus PINs não tenham sido comprometidos. Isso não exclui a possibilidade de que os atacantes possam usar os dados vazados nessa violação para criar ataques de phishing confiáveis para pedir às vítimas seus novos PINs ou direcionar os usuários para páginas falsificadas que pedem seu PIN.

Atenuando os riscos de dados violados 

A T-Mobile está oferecendo a todos os clientes afetados uma assinatura gratuita de dois anos do Serviço de Proteção contra Roubo de ID da McAfee, que inclui monitoramento de crédito, restauração de identidade de serviço completo, seguro de identidade, monitoramento da dark web e muito mais. Clientes empresariais e pós-pagos também podem habilitar o serviço de Proteção contra Aquisição de Conta da T-Mobile gratuitamente e todos os usuários da T-Mobile podem usar o aplicativo Scam Shield da empresa, que permite o ID do chamador e bloqueia automaticamente chamadas sinalizadas como fraudes.

De forma mais geral, todos os assinantes móveis devem verificar com suas operadoras quais opções têm para proteger suas contas contra troca de SIM ou portabilidade de números e devem permitir essa verificação adicional. O uso de mensagens de texto ou chamadas telefônicas para autenticação de dois fatores deve ser desativado sempre que possível em favor da autenticação de dois fatores por meio de um aplicativo móvel ou um token de hardware dedicado, especialmente para contas de alto valor. Contas de e-mail são contas de alto valor porque são usadas para confirmar solicitações de redefinição de senha para a maioria das outras contas online.

Finalmente, tenha cuidado com e-mails ou mensagens de texto que solicitam informações confidenciais, como senhas, PINs, tokens de acesso ou que o direcionam para sites que solicitam essas informações; especialmente se essas mensagens seguirem uma violação de dados altamente divulgada. Se você receber uma mensagem suspeita de um serviço com o qual tem uma conta, acesse o site da empresa digitando-o diretamente no navegador ou ligue para o departamento de suporte ao cliente para confirmar a legitimidade da mensagem antes de agir sobre ela.

FONTE: CSO ONLINE

Previous post A ascensão da indústria de vigilância privada
Next post As 15 principais prioridades estratégicas dos CISOs para 2021

Deixe um comentário