Empleados de T-Mobile en todo EE. UU. reciben ofertas de dinero por swaps ilegales de SIM
(tmo.report)- Empleados de T-Mobile en todo Estados Unidos recibieron mensajes de texto solicitándoles realizar swaps ilegales de SIM, trasladando líneas de clientes a SIM en poder de atacantes
- Los mensajes ofrecen 300 dólares por caso y contacto por Telegram, y usan números de origen con varios códigos de área para dificultar el bloqueo
- Los textos dicen que obtuvieron los números de empleados del “T-Mo employee directory”, e incluyen como objetivo no solo a empleados actuales, sino también a exempleados que dejaron la empresa hace unos meses
- T-Mobile respondió que no hubo una intrusión en sus sistemas, pero está investigando los mensajes que buscan inducir actos ilegales; también se reportaron casos similares en otros operadores móviles
- Los clientes deberían reducir su dependencia de la autenticación de dos factores basada en SMS y activar apps de autenticación y SIM protection para disminuir el riesgo de toma de control de cuentas
Solicitudes directas a empleados para hacer SIM swapping
- El SIM swapping es una técnica en la que un atacante transfiere la línea telefónica de la víctima a una SIM que él controla, intercepta los códigos de autenticación de dos factores enviados a la víctima y accede a sus cuentas en línea
- La víctima puede perder dinero de cuentas bancarias o billeteras de criptomonedas
- Según varias publicaciones en Reddit y reportes separados, empleados de T-Mobile en todo Estados Unidos recibieron mensajes que ofrecían dinero a cambio de hacer SIM swapping
- Los mensajes de solicitud ofrecen 300 dólares por cada SIM swap y piden contactar por Telegram
- El número de origen cambia entre distintos números con varios códigos de área, por lo que es difícil bloquearlos solo bloqueando números individuales
Origen de los contactos de empleados y posible intrusión
- Los mensajes incluyen una frase que dice que obtuvieron los números telefónicos de empleados del “T-Mo employee directory”
- Si esto es cierto, es posible que hayan accedido de alguna forma a un directorio de empleados de T-Mobile que contenía datos de contacto
- Como también fueron incluidos exempleados que dejaron la empresa hace unos meses, se considera poco probable que el atacante tenga acceso actual en tiempo real a los datos
- No se ha confirmado de dónde salieron los números de empleados
- Según comentarios en línea, algunos empleados de terceros parecen haber sido afectados
- También se confirmó por separado que empleados corporativos actuales de T-Mobile recibieron los mensajes
- Es difícil afirmar que provengan de la misma fuente que los datos filtrados relacionados con Connectivity Source en septiembre de 2023
- Sin embargo, no se puede descartar esa posibilidad
- Relaciones públicas de T-Mobile respondió que “no hubo una intrusión en sus sistemas”
- La empresa sigue investigando los mensajes enviados para inducir actos ilegales
- Otros operadores móviles también reportaron mensajes similares
Riesgos que los clientes pueden reducir
- Para los clientes, sigue siendo preocupante que los delincuentes aún vean el SIM swapping como un método de ataque rentable
- Si algunos empleados aceptan la oferta de dinero rápido, las cuentas y los fondos de los clientes podrían quedar directamente en riesgo
- Medidas que pueden tomar los clientes:
- No dejar la autenticación de dos factores de los servicios en línea basada en SMS
- Usar apps de autenticación como Google Authenticator o Authy
- Si un banco o servicio de billetera de criptomonedas solo ofrece SMS como autenticación de dos factores, considerar cambiarse a otro servicio
- Activar SIM protection en la cuenta de T-Mobile
1 comentarios
Opiniones en Hacker News
¿No podría T-Mobile enviar sus propios SMS fingiendo que subió la recompensa a 600 dólares para sus empleados, y despedir a quienes respondan?
O quizá podría cambiar los términos del descuento en líneas para empleados para permitir monitorear el contenido o los metadatos de los SMS con el fin de detectar amenazas de seguridad contra usuarios de la empresa.
No sé si sea legal hacerse pasar por alguien que ofrece dinero a cambio de un SIM swap, pero eso es secundario; no he visto muchas pruebas de que a T-Mobile le hayan importado estas cosas en el pasado.
Los ataques de SIM swap con participación de un “insider” no son algo nuevo. El celular T-Mobile de un amigo cercano fue atacado de esta forma en marzo de 2020.
Lo importante de esta noticia es la combinación de una filtración de datos con el SIM swap. Los delincuentes están usando números telefónicos de empleados incluidos en una filtración reciente de T-Mobile para contactar por SMS a muchos empleados a la vez y ofrecer 300 dólares por caso.
Antes, el método era convertir a alguien en insider mediante contactos personales o postularse directamente para ser contratado; con los datos filtrados, ahora se puede automatizar y escalar.
Es decir, el “método antiguo” no solo consistía en cultivar a un insider, sino también en lograr que ese insider pudiera confiar en el cliente.
¿Cuál sería la solución aquí? ¿Es realista impedir que los empleados de tiendas físicas transfieran el número telefónico de un cliente a una SIM nueva? ¿Qué se debería hacer si el cliente dice que perdió el teléfono o se lo robaron?
Lo ideal sería contar con una verificación de que el cliente estuvo físicamente presente y que se comprobó su identificación, pero en Estados Unidos no existe algo así como una identificación de uso universal, así que no sé cómo se podría hacer. Además, creo que se debería poder obtener un número telefónico incluso sin una identificación, y en esos casos la verificación queda bloqueada.
El problema es que el teléfono móvil se ha convertido, en la práctica, en la raíz de confianza de nuestra vida digital. Que las passkeys estén integradas en el sistema operativo es bueno porque desplaza este problema fuera de las operadoras, pero el problema de fondo sigue ahí. Establecer la confianza inicial es difícil.
Cuando se dice “el cliente está físicamente presente y se verificó su identificación”, ¿presente dónde? Mi MVNO no tiene sucursales. E incluso si las tuviera, ¿por qué tendría que ir? A una sucursal bancaria tampoco voy si puedo evitarlo.
SMS quizá esté bien para autenticación de dos pasos, pero siempre debe ser el segundo factor. “Olvidé mi contraseña” → código por SMS → nueva contraseña es, en la práctica, autenticación de un solo factor. Usar SMS como único factor es realmente malo.
Así, para que un empleado corrupto ejecute el cambio de SIM, necesitaría información adicional que no tiene.
Que el cambio solo sea posible si la SIM estuvo desconectada de la red móvil durante 48 horas; si no lo estuvo, se llama o se envía un mensaje a la SIM existente para confirmar que realmente se quiere hacer el cambio.
Trabajo en la industria de las criptomonedas y veo SIM swaps todo el tiempo. Se usan sobre todo para tomar cuentas de Twitter de personas conocidas, y luego publicar enlaces de phishing para robar las monedas de sus seguidores. En este campo, T-Mobile aparece mencionada por mucho más que otras, y como la mayoría de las víctimas usaba T-Mobile, esto viene de hace mucho.
Otro gran problema de seguridad de Twitter es que pueden robarte la cuenta incluso si usas autenticación de dos pasos que no sea por SMS. Si la cuenta tiene un número telefónico, se usa como método de recuperación y se salta por completo la autenticación de dos pasos. Esta falla de seguridad existe desde hace años y todavía no la han corregido.
Son poquísimos los sitios que permiten no proporcionar un número telefónico, o al menos impedir que se use como método de recuperación.
Un simple bloqueo temporal ayudaría mucho. Por ejemplo, que la recuperación de autenticación de “dos” pasos basada en contraseña de un solo uso por SMS solo sea posible después de 24 horas y, al mismo tiempo, se envíen muchas alertas de “alguien que quizá no eres tú está intentando recuperar tu cuenta”, además de ofrecer al propietario legítimo de la cuenta una forma de detenerlo.
Es aún peor si eso se permite incluso cuando se usa autenticación de dos pasos que no sea por SMS, porque anula al 100% el propósito de usar un método alternativo de autenticación de dos pasos.
Es difícil creer que las contraseñas de un solo uso por SMS se usen con tanta frecuencia. Es algo públicamente conocido, y solo cambia una vía de ataque existente por una peor
Romper una contraseña o entrar a una base de datos cifrada es 10 veces más difícil que lograr un SIM swap
Los códigos de dos factores con límite de tiempo pueden romperse con SIM swaps o phishing dirigido, pero eso es menos común que las campañas amplias de phishing basadas en spam
Eso no significa que me guste la autenticación de dos factores por SMS; de hecho, la odio
Ahora ojalá agregaran WebAuthn. Aun así, TOTP usado junto con el administrador de contraseñas integrado del navegador es bastante seguro contra phishing, porque si no aparece el autocompletado, uno puede sospechar
Los SIM swaps les ocurren a muy pocas personas, así que para los involucrados no vale tanto la pena el esfuerzo. A mí tampoco me gusta, pero esa es la realidad
Todo lo que hoy se basa solo en nombre de usuario y contraseña debería reemplazarse por passkeys. Los problemas que las passkeys no resuelven son la autenticación de dos factores y la recuperación de cuentas
Contraseña + contraseña de un solo uso por SMS es, por sí solo, mejor, por pésimo que sea el método por SMS
Parece que la FCC está implementando nuevas reglas para impedir los SIM swaps, y entrarían en vigor el 8 de julio de 2024. Sin embargo, viendo solo el comunicado de prensa no queda claro si podrán proteger a los clientes incluso cuando el actor malicioso sea un empleado de la operadora
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
No es broma: creo que habría mercado para crear una operadora móvil que exija una muestra de ADN al hacer cambios
El ADN podría tomarse simultáneamente de varias fuentes, como sangre, saliva o una uña elegida al azar, y pasarse por hash para que el proveedor no almacene la cadena de ADN en sí. El ADN en sí no es como un UUID, así que haría falta algo de innovación, pero creo que es posible. Los VIP pagarían por este servicio, e incluso se podría ofrecer un seguro limitado contra daños por hackeos
De paso, en un episodio de “Forensic Files” hubo un sospechoso que se inyectó una muestra de sangre de otra persona para evitar una prueba de ADN por una acusación de agresión sexual. Así que admito que el método con ADN también puede ser atacado. Por eso harían falta varias muestras aleatorias
Realmente necesitamos un mejor estándar para la autenticación multifactor. Probablemente habría que tener una definición legal de autenticación multifactor y clasificar SMS como autenticación de dos pasos, al mismo nivel que algo como el correo electrónico
Creo que la verdadera autenticación multifactor debería limitarse a Yubikey u otros dispositivos basados en certificados de hardware. Además, si solo se admite un token por método, no deberían poder promocionarlo como autenticación multifactor
En la práctica, algo como iPhone Keychain parece estar cerca del límite, y aun eso depende en cierta medida de la seguridad de hardware
https://passkeys.dev/
https://passkeys.directory/
Esto no es simplemente un problema de SIM o de T-Mobile
La mayoría de los agentes de atención al cliente ganan muy poco, y especialmente en otros países no es difícil encontrar a alguien que, por una suma pequeña según estándares occidentales, haga una acción específica. Los agentes de atención al cliente suelen tener permisos potentes y acceso a información sensible, y los controles de acceso son deficientes
Incluso si resolvemos los problemas de SMS y de la autenticación multifactor, los atacantes irán por el siguiente punto débil
Hasta donde sé, la autenticación de dos factores por SMS es la más fácil de vulnerar de todos los métodos. Al menos con el correo electrónico, primero se necesita la contraseña y, en algunos casos, también superar una autenticación de dos factores separada
Para lanzar una idea que parece sencilla: ofrecer una opción optativa que permita trasladar la línea de una cuenta a una SIM nueva solo cuando la SIM actual esté offline según la red de torres celulares
También se podría impedir que atención al cliente eluda esta restricción
Si alguien roba un teléfono, intentará ponerlo en modo avión lo antes posible para evitar el bloqueo de activación. Si lo dejaste caer al mar o por un acantilado, probablemente no seguirá funcionando mucho tiempo. Si te preocupa perderlo y que siga encendido sin poder encontrarlo, simplemente no activarías esta opción
Si no responde, se transfiere después de 48 horas; si responde “sí”, se transfiere de inmediato. Si responde “no”, la persona que solicitó la transferencia tiene que responder algunas preguntas
Por ejemplo, si perdiste el teléfono y podría estar en algún lugar de la calle, por lo que no puedes responder, la línea se transferiría unas 8 horas después si no hay respuesta a la solicitud de confirmación