Một nghiên cứu học thuật mới đã nêu bật một số cạm bẫy về quyền riêng tư và bảo mật liên quan đến việc tái chế số điện thoại di động có thể bị lạm dụng để thực hiện nhiều loại khai thác, bao gồm chiếm đoạt tài khoản, thực hiện các cuộc tấn công lừa đảo và thư rác, và thậm chí ngăn cản nạn nhân đăng ký các dịch vụ trực tuyến .
Gần 66% số tái chế được lấy mẫu được phát hiện có liên quan đến tài khoản trực tuyến của chủ sở hữu trước đó tại các trang web phổ biến, có khả năng cho phép chiếm đoạt tài khoản bằng cách khôi phục các tài khoản liên quan đến những số đó.
“Kẻ tấn công có thể xem xét các số có sẵn được hiển thị trên các giao diện thay đổi số trực tuyến và kiểm tra xem có bất kỳ số nào trong số chúng được liên kết với các tài khoản trực tuyến của chủ sở hữu trước đó hay không”, các nhà nghiên cứu nói. Nếu vậy, kẻ tấn công sau đó có thể lấy những số này và đặt lại mật khẩu trên các tài khoản, đồng thời nhận và nhập chính xác OTP được gửi qua SMS khi đăng nhập. “
Phát hiện này là một phần của phân tích mẫu gồm 259 số điện thoại có sẵn cho các thuê bao mới của các công ty viễn thông lớn nhất Hoa Kỳ T-Mobile và Verizon Wireless. Nghiên cứu được thực hiện bởi Kevin Lee của Đại học Princeton và Giáo sư Arvind Narayanan, một trong những thành viên ủy ban điều hành của Trung tâm Chính sách Công nghệ Thông tin.
Tái chế số điện thoại đề cập đến thông lệ tiêu chuẩn là gán lại các số điện thoại bị ngắt kết nối cho các thuê bao mới khác của nhà cung cấp dịch vụ. Theo Ủy ban Truyền thông Liên bang (FCC), một ước tính khoảng 35 triệu số điện thoại bị ngắt kết nối mỗi năm ở Mỹ
Nhưng điều này cũng có thể gây ra những nguy hiểm nghiêm trọng khi kẻ tấn công thực hiện tra cứu ngược lại bằng cách nhập ngẫu nhiên các số như vậy vào giao diện trực tuyến do hai nhà mạng cung cấp và khi gặp số tái chế, hãy mua chúng và đăng nhập thành công vào tài khoản nạn nhân mà được liên kết.
Trọng tâm của cuộc tấn công, chiến lược là thiếu giới hạn truy vấn đối với các số có sẵn do nhà cung cấp dịch vụ áp đặt trên giao diện trả trước của họ để thay đổi số, ngoài việc hiển thị “số đầy đủ, giúp kẻ tấn công có khả năng phát hiện ra các số tái chế trước khi xác nhận thay đổi số. “
Hơn nữa, 100 trong số các số điện thoại được lấy mẫu đã được xác định là có liên quan đến các địa chỉ email đã liên quan đến một vụ vi phạm dữ liệu trong quá khứ, do đó cho phép xâm nhập tài khoản thuộc loại thứ hai phá vỡ xác thực đa yếu tố dựa trên SMS. Trong cuộc tấn công thứ ba, 171 trong số 259 số có sẵn đã được liệt kê trên các dịch vụ tìm kiếm người như BeenVerified và trong quá trình này, đã làm rò rỉ thông tin cá nhân nhạy cảm của chủ sở hữu trước đó.
Các nhà nghiên cứu giải thích: “Một khi họ có được số của chủ sở hữu trước đó, họ có thể thực hiện các cuộc tấn công mạo danh để thực hiện hành vi gian lận hoặc tích lũy nhiều PII hơn cho các chủ sở hữu trước đó”.
Ngoài ba cuộc tấn công tra cứu ngược nói trên, năm mối đe dọa bổ sung được kích hoạt bởi việc tái chế số điện thoại nhắm mục tiêu đến cả chủ sở hữu trước đây và tương lai, cho phép kẻ xấu mạo danh chủ sở hữu quá khứ, chiếm đoạt tài khoản điện thoại trực tuyến của nạn nhân và các tài khoản trực tuyến được liên kết khác, và tệ hơn, thực hiện sự từ chối của dịch vụ tấn công.
Các nhà nghiên cứu cho biết: “Kẻ tấn công có được một số, đăng ký một dịch vụ trực tuyến yêu cầu số điện thoại và tung ra số đó. “Khi nạn nhân lấy được số và cố gắng đăng ký cùng một dịch vụ, họ sẽ bị từ chối do đã có tài khoản. Kẻ tấn công có thể liên hệ với nạn nhân qua SMS và yêu cầu thanh toán để giải phóng số trên nền tảng.”
Đáp lại những phát hiện, T-Mobile cho biết họ đã cập nhật “Thay đổi số điện thoại của bạn“trang hỗ trợ với thông tin về việc nhắc người dùng” cập nhật số liên hệ của bạn trên bất kỳ tài khoản nào có thể có số của bạn được lưu, chẳng hạn như thông báo cho tài khoản ngân hàng, mạng xã hội, v.v. “và chỉ định Giai đoạn lão hóa số bắt buộc của FCC trong 45 ngày để cho phép gán lại số cũ.
Tương tự như vậy, Verizon đã thực hiện các bản sửa đổi tương tự đối với “Quản lý dịch vụ di động Verizon“trang hỗ trợ. Nhưng dường như không có nhà cung cấp nào thực hiện bất kỳ thay đổi cụ thể nào khiến các cuộc tấn công khó thực hiện hơn.
Nếu có bất cứ điều gì, nghiên cứu là một bằng chứng khác về lý do tại sao xác thực dựa trên SMS là một phương pháp rủi ro, vì các cuộc tấn công nêu trên có thể cho phép kẻ thù chiếm đoạt tài khoản hỗ trợ SMS 2FA mà không cần biết mật khẩu.
“Nếu bạn cần từ bỏ số của mình, trước tiên hãy hủy liên kết nó khỏi các dịch vụ trực tuyến”, Narayanan nói trong một tweet. “Hãy xem xét các dịch vụ ‘đỗ xe’ số chi phí thấp. Sử dụng các lựa chọn thay thế an toàn hơn cho SMS-2FA, chẳng hạn như các ứng dụng xác thực.”
