Une étude universitaire de l’Université de Princeton a découvert que cinq grandes entreprises de télécommunications américaines utilisent des méthodes d’authentification vulnérables aux attaques par échange de cartes SIM, car les universitaires de l’Université de Princeton ont passé leur temps au cours de l’année dernière à tester cinq grands fournisseurs de services de télécommunications aux États-Unis pour voir s’ils pouvaient tromper le personnel du centre d’appels pour transférer un numéro de l’utilisateur à une autre carte d’appel sans fournir les informations d’identification appropriées.
La carte d’appel est échangée lorsqu’un attaquant appelle un fournisseur de téléphonie mobile et incite le personnel de l’opérateur à changer le numéro de téléphone de la victime sur la carte propriétaire de l’attaquant, ce qui lui permet de réinitialiser les mots de passe et d’accéder aux comptes sensibles via Internet, tels que la messagerie électronique, les portails bancaires électroniques ou les systèmes Tradez des crypto-monnaies.
Selon l’équipe de recherche, ils ont constaté que AT&T, T-Mobile, Tracfone, US Mobile et Verizon Wireless utilisaient des procédures faibles avec les centres de support client, mesures que les attaquants pouvaient utiliser pour mener des attaques par échange de cartes de contact.
Les chercheurs ont acheté 10 lignes prépayées d’AT & T, T-Mobile, Tracfone, US Mobile et Verizon Wireless avec un total de 50 lignes, et ils ont utilisé ces lignes sur un téléphone pour faire de vrais appels et créer un journal d’appels réaliste, et ont constaté qu’ils n’avaient besoin que de répondre à une chose pour vérifier leur identité. Et amenez les entreprises à changer leurs services sur leur propre carte de contact.
Pour tester les mesures de sécurité de l’entreprise, ils ont demandé d’échanger la carte d’appel, et ils ont intentionnellement fourni un code PIN incorrect pour forcer l’employé du service client à essayer une autre méthode d’authentification, et lorsqu’ils leur ont demandé la date de naissance ou le code postal du titulaire du compte pour la facture, ils ont également fourni des informations erronées, ce qui a amené l’employé à passer au troisième type L’une des méthodes d’authentification, pour laquelle l’appelant demande ses derniers appels.
Grâce à cette méthode, les chercheurs ont réussi à échanger la carte d’appel. En outre, ils ont examiné 140 services en ligne qui utilisent l’authentification par téléphone pour savoir ce que les attaquants peuvent faire avec les numéros qu’ils détournent.
Ils ont analysé lequel d’entre eux permettrait aux attaquants d’échanger la carte d’appel pour détourner un compte d’utilisateur, et ils ont facilement pu réinitialiser les mots de passe dans 17 de ces services en utilisant uniquement des cartes d’appel détournées, car aucune question d’authentification supplémentaire n’a été posée.
Source : here