0
0
Uma recente violação da cadeia de suprimentos da Kroll, empresa de consultoria financeira e de risco, afetou clientes downstream e expôs informações pessoais de centenas de requerentes em processos de falência relacionados às empresas de comércio de criptografia FTX, BlockFI e Genesis. O incidente é um lembrete claro do perigo contínuo para as organizações de ataques de troca de SIM, observaram os pesquisadores, e da necessidade de abandonar a autenticação de dois fatores baseada em SMS.
A violação da Kroll ocorreu quando um adversário transferiu o número de telefone de um funcionário para um dispositivo controlado pelo invasor e depois o usou para acessar informações confidenciais. A troca de SIM, ou sequestro de SIM, é um tipo de ataque de controle de conta em que um invasor obtém acesso não autorizado às funções do telefone celular de um alvo, enganando a operadora móvel para que transfira o número de telefone da vítima para um cartão SIM controlado pelo invasor.
Os ataques podem assumir várias formas. Alguns grupos de ameaças, como o “Scattered Spider”, com sede na China, realizaram ataques de troca de SIM em grande escala, invadindo sistemas pertencentes a operadoras de telefonia móvel e portando números por conta própria. No caso da Kroll, o invasor convenceu a T-Mobile a transferir o número de telefone de um funcionário da Kroll para seu próprio dispositivo. Isso lhes proporcionou uma maneira de acessar arquivos contendo detalhes da falência; A Kroll foi contratada para gerenciar o arquivamento e retenção de provas de reivindicação nos processos de todas as três empresas de criptografia.
“Especificamente, a T-Mobile, sem qualquer autoridade ou contato com a Kroll ou seu funcionário, transferiu o número de telefone desse funcionário para o telefone do autor da ameaça a seu pedido”, revelou a Kroll na semana passada, observando que soube da violação em 19 de agosto.
A T-Mobile não respondeu imediatamente a um pedido de comentário da Dark Reading.
Em uma notificação aos clientes, a FTX disse que a violação expôs nomes , endereços, e-mails e saldos em suas contas FTX. Genesis descreveu a violação como tendo um impacto semelhante e alertou as vítimas para ficarem atentas a tentativas de phishing destinadas a assumir o controle de suas contas de criptomoeda, carteiras e outros ativos digitais.
Visando autenticação baseada em SMS
O principal objetivo dos ataques de troca de SIM geralmente é obter o controle das mensagens de texto recebidas da vítima, a fim de interceptar códigos de autenticação de dois fatores enviados via SMS. Estes são então usados para acessar o banco e outras contas da vítima. Em muitos casos, grupos de ameaças também usaram dispositivos com troca de SIM para campanhas de phishing.
“Os ataques de troca de SIM são usados para derrotar a autenticação multifatorial baseada em SMS, geralmente levando a invasões de contas e abrindo caminho para violações de dados e ataques cibernéticos”, diz Zach Capers, analista sênior de segurança da Capterra. “Este é um problema real porque a pesquisa da Capterra revela que 42% das empresas usam SMS para autenticação multifatorial”, diz ele.
Mitigando riscos de troca de SIM
Capers diz que a troca de SIM normalmente começa com engenharia social – geralmente por meio de e-mail de phishing e pesquisas de histórico da vítima usando mídias sociais, páginas de funcionários da empresa ou outras fontes.
“O invasor usa essas informações para se passar pela vítima, contornar a segurança da conta da operadora de telefonia móvel e convencê-la a portar o número de telefone para um novo dispositivo. Uma vez portado, o invasor intercepta códigos de autenticação e obtém acesso a qualquer coisa usando autenticação baseada em SMS , desde informações comerciais confidenciais até contas financeiras”, diz ele. Os ataques de troca de SIM são uma boa razão pela qual as empresas precisam considerar alternativas – como biometria e chaves de autenticação física – à autenticação baseada em SMS, disse Capers.
Os indivíduos podem minimizar alguns dos riscos não publicando dados pessoais em plataformas de redes sociais e outros fóruns online, acrescenta Georgia Weidman, arquiteta de segurança da Zimperium. Os invasores muitas vezes se fazem passar por alvos usando informações como nomes de parentes, endereços físicos e endereços de e-mail ao tentar convencer uma operadora de telefonia a portar um número de telefone para um novo cartão SIM, diz Weidman.
“As empresas também podem alertar os funcionários sobre o perigo representado pela troca de SIM”, observa ela, “e recomendar adicionar um congelamento de porta à sua conta móvel”.
FONTE: DARKREADING