A violação de criptografia da Kroll destaca o risco de troca de SIM

Views: 183
0 0
Read Time:3 Minute, 51 Second

Uma recente violação da cadeia de suprimentos da Kroll, empresa de consultoria financeira e de risco, afetou clientes downstream e expôs informações pessoais de centenas de requerentes em processos de falência relacionados às empresas de comércio de criptografia FTX, BlockFI e Genesis. O incidente é um lembrete claro do perigo contínuo para as organizações de ataques de troca de SIM, observaram os pesquisadores, e da necessidade de abandonar a autenticação de dois fatores baseada em SMS.

A violação da Kroll ocorreu quando um adversário transferiu o número de telefone de um funcionário para um dispositivo controlado pelo invasor e depois o usou para acessar informações confidenciais. A troca de SIM, ou sequestro de SIM, é um tipo de ataque de controle de conta em que um invasor obtém acesso não autorizado às funções do telefone celular de um alvo, enganando a operadora móvel para que transfira o número de telefone da vítima para um cartão SIM controlado pelo invasor. 

Os ataques podem assumir várias formas. Alguns grupos de ameaças, como o “Scattered Spider”, com sede na China, realizaram ataques de troca de SIM em grande escala, invadindo sistemas pertencentes a operadoras de telefonia móvel e portando números por conta própria. No caso da Kroll, o invasor convenceu a T-Mobile a transferir o número de telefone de um funcionário da Kroll para seu próprio dispositivo. Isso lhes proporcionou uma maneira de acessar arquivos contendo detalhes da falência; A Kroll foi contratada para gerenciar o arquivamento e retenção de provas de reivindicação nos processos de todas as três empresas de criptografia.

“Especificamente, a T-Mobile, sem qualquer autoridade ou contato com a Kroll ou seu funcionário, transferiu o número de telefone desse funcionário para o telefone do autor da ameaça a seu pedido”, revelou a Kroll na semana passada, observando que soube da violação em 19 de agosto.

A T-Mobile não respondeu imediatamente a um pedido de comentário da Dark Reading.

Em uma notificação aos clientes, a FTX disse que a violação expôs nomes , endereços, e-mails e saldos em suas contas FTX. Genesis descreveu a violação como tendo um impacto semelhante e alertou as vítimas para ficarem atentas a tentativas de phishing destinadas a assumir o controle de suas contas de criptomoeda, carteiras e outros ativos digitais.

Visando autenticação baseada em SMS

O principal objetivo dos ataques de troca de SIM geralmente é obter o controle das mensagens de texto recebidas da vítima, a fim de interceptar códigos de autenticação de dois fatores enviados via SMS. Estes são então usados ​​para acessar o banco e outras contas da vítima. Em muitos casos, grupos de ameaças também usaram dispositivos com troca de SIM para campanhas de phishing.

“Os ataques de troca de SIM são usados ​​para derrotar a autenticação multifatorial baseada em SMS, geralmente levando a invasões de contas e abrindo caminho para violações de dados e ataques cibernéticos”, diz Zach Capers, analista sênior de segurança da Capterra. “Este é um problema real porque a pesquisa da Capterra revela que 42% das empresas usam SMS para autenticação multifatorial”, diz ele.

Mitigando riscos de troca de SIM

Capers diz que a troca de SIM normalmente começa com engenharia social – geralmente por meio de e-mail de phishing e pesquisas de histórico da vítima usando mídias sociais, páginas de funcionários da empresa ou outras fontes. 

“O invasor usa essas informações para se passar pela vítima, contornar a segurança da conta da operadora de telefonia móvel e convencê-la a portar o número de telefone para um novo dispositivo. Uma vez portado, o invasor intercepta códigos de autenticação e obtém acesso a qualquer coisa usando autenticação baseada em SMS , desde informações comerciais confidenciais até contas financeiras”, diz ele. Os ataques de troca de SIM são uma boa razão pela qual as empresas precisam considerar alternativas – como biometria e chaves de autenticação física – à autenticação baseada em SMS, disse Capers.

Os indivíduos podem minimizar alguns dos riscos não publicando dados pessoais em plataformas de redes sociais e outros fóruns online, acrescenta Georgia Weidman, arquiteta de segurança da Zimperium. Os invasores muitas vezes se fazem passar por alvos usando informações como nomes de parentes, endereços físicos e endereços de e-mail ao tentar convencer uma operadora de telefonia a portar um número de telefone para um novo cartão SIM, diz Weidman. 

“As empresas também podem alertar os funcionários sobre o perigo representado pela troca de SIM”, observa ela, “e recomendar adicionar um congelamento de porta à sua conta móvel”.

FONTE: DARKREADING

POSTS RELACIONADOS