1 puntos por GN⁺ 2024-04-16 | 1 comentarios | Compartir por WhatsApp
  • Empleados de T-Mobile en todo Estados Unidos recibieron mensajes de texto solicitándoles realizar swaps ilegales de SIM, trasladando líneas de clientes a SIM en poder de atacantes
  • Los mensajes ofrecen 300 dólares por caso y contacto por Telegram, y usan números de origen con varios códigos de área para dificultar el bloqueo
  • Los textos dicen que obtuvieron los números de empleados del “T-Mo employee directory”, e incluyen como objetivo no solo a empleados actuales, sino también a exempleados que dejaron la empresa hace unos meses
  • T-Mobile respondió que no hubo una intrusión en sus sistemas, pero está investigando los mensajes que buscan inducir actos ilegales; también se reportaron casos similares en otros operadores móviles
  • Los clientes deberían reducir su dependencia de la autenticación de dos factores basada en SMS y activar apps de autenticación y SIM protection para disminuir el riesgo de toma de control de cuentas

Solicitudes directas a empleados para hacer SIM swapping

  • El SIM swapping es una técnica en la que un atacante transfiere la línea telefónica de la víctima a una SIM que él controla, intercepta los códigos de autenticación de dos factores enviados a la víctima y accede a sus cuentas en línea
  • La víctima puede perder dinero de cuentas bancarias o billeteras de criptomonedas
  • Según varias publicaciones en Reddit y reportes separados, empleados de T-Mobile en todo Estados Unidos recibieron mensajes que ofrecían dinero a cambio de hacer SIM swapping
  • Los mensajes de solicitud ofrecen 300 dólares por cada SIM swap y piden contactar por Telegram
  • El número de origen cambia entre distintos números con varios códigos de área, por lo que es difícil bloquearlos solo bloqueando números individuales

Origen de los contactos de empleados y posible intrusión

  • Los mensajes incluyen una frase que dice que obtuvieron los números telefónicos de empleados del “T-Mo employee directory”
    • Si esto es cierto, es posible que hayan accedido de alguna forma a un directorio de empleados de T-Mobile que contenía datos de contacto
    • Como también fueron incluidos exempleados que dejaron la empresa hace unos meses, se considera poco probable que el atacante tenga acceso actual en tiempo real a los datos
  • No se ha confirmado de dónde salieron los números de empleados
    • Según comentarios en línea, algunos empleados de terceros parecen haber sido afectados
    • También se confirmó por separado que empleados corporativos actuales de T-Mobile recibieron los mensajes
    • Es difícil afirmar que provengan de la misma fuente que los datos filtrados relacionados con Connectivity Source en septiembre de 2023
    • Sin embargo, no se puede descartar esa posibilidad
  • Relaciones públicas de T-Mobile respondió que “no hubo una intrusión en sus sistemas”
    • La empresa sigue investigando los mensajes enviados para inducir actos ilegales
    • Otros operadores móviles también reportaron mensajes similares

Riesgos que los clientes pueden reducir

  • Para los clientes, sigue siendo preocupante que los delincuentes aún vean el SIM swapping como un método de ataque rentable
  • Si algunos empleados aceptan la oferta de dinero rápido, las cuentas y los fondos de los clientes podrían quedar directamente en riesgo
  • Medidas que pueden tomar los clientes:
    • No dejar la autenticación de dos factores de los servicios en línea basada en SMS
    • Usar apps de autenticación como Google Authenticator o Authy
    • Si un banco o servicio de billetera de criptomonedas solo ofrece SMS como autenticación de dos factores, considerar cambiarse a otro servicio
    • Activar SIM protection en la cuenta de T-Mobile

1 comentarios

 
GN⁺ 2024-04-16
Opiniones en Hacker News
  • ¿No podría T-Mobile enviar sus propios SMS fingiendo que subió la recompensa a 600 dólares para sus empleados, y despedir a quienes respondan?
    O quizá podría cambiar los términos del descuento en líneas para empleados para permitir monitorear el contenido o los metadatos de los SMS con el fin de detectar amenazas de seguridad contra usuarios de la empresa.

    • T-Mobile podría hacer varias cosas, pero primero habría que comprobar por qué le importaría.
      No sé si sea legal hacerse pasar por alguien que ofrece dinero a cambio de un SIM swap, pero eso es secundario; no he visto muchas pruebas de que a T-Mobile le hayan importado estas cosas en el pasado.
    • Hay muchas cosas que se podrían hacer: 1) exigir 2 empleados y un agente telefónico para un cambio de SIM, 2) llamar al número que se va a cambiar y confirmar con quien responda que sabe del traspaso del número, 3) imponer un periodo de espera de 24 horas antes del cambio e intentar contactar al usuario de ese número, y 4) pagar una gran recompensa, de 10 mil dólares o más, a quien aporte pruebas de que un colega aceptó un soborno.
    • Bastaría con enviar un aviso diciendo que responder a este tipo de ofertas puede causar el despido para resolverlo en cierta medida.
    • Otra opción es pagar lo suficiente para que, desde el principio, no sientan la tentación.
  • Los ataques de SIM swap con participación de un “insider” no son algo nuevo. El celular T-Mobile de un amigo cercano fue atacado de esta forma en marzo de 2020.
    Lo importante de esta noticia es la combinación de una filtración de datos con el SIM swap. Los delincuentes están usando números telefónicos de empleados incluidos en una filtración reciente de T-Mobile para contactar por SMS a muchos empleados a la vez y ofrecer 300 dólares por caso.
    Antes, el método era convertir a alguien en insider mediante contactos personales o postularse directamente para ser contratado; con los datos filtrados, ahora se puede automatizar y escalar.

    • La forma de atacar ese punto débil sería distribuir ofertas falsas tipo honeypot. La debilidad de este plan es que la falta de confianza y el anonimato juegan en contra de ambas partes.
      Es decir, el “método antiguo” no solo consistía en cultivar a un insider, sino también en lograr que ese insider pudiera confiar en el cliente.
    • Según entiendo, en el mundo de las criptomonedas esto viene ocurriendo desde principios de 2018.
    • Me pregunto por qué alguien arriesgaría su empleo por 300 dólares.
    • En mi caso me pasó a fines de los 2000, probablemente alrededor de 2008.
  • ¿Cuál sería la solución aquí? ¿Es realista impedir que los empleados de tiendas físicas transfieran el número telefónico de un cliente a una SIM nueva? ¿Qué se debería hacer si el cliente dice que perdió el teléfono o se lo robaron?
    Lo ideal sería contar con una verificación de que el cliente estuvo físicamente presente y que se comprobó su identificación, pero en Estados Unidos no existe algo así como una identificación de uso universal, así que no sé cómo se podría hacer. Además, creo que se debería poder obtener un número telefónico incluso sin una identificación, y en esos casos la verificación queda bloqueada.
    El problema es que el teléfono móvil se ha convertido, en la práctica, en la raíz de confianza de nuestra vida digital. Que las passkeys estén integradas en el sistema operativo es bueno porque desplaza este problema fuera de las operadoras, pero el problema de fondo sigue ahí. Establecer la confianza inicial es difícil.

    • La solución es no dejar el acceso a la vida digital en manos de las operadoras.
      Cuando se dice “el cliente está físicamente presente y se verificó su identificación”, ¿presente dónde? Mi MVNO no tiene sucursales. E incluso si las tuviera, ¿por qué tendría que ir? A una sucursal bancaria tampoco voy si puedo evitarlo.
    • En Estados Unidos tampoco es nada raro que las políticas de verificación de identidad para diversos fines exijan una identificación con foto emitida por el gobierno. Hasta donde sé, todos los estados tienen identificaciones que pueden emitirse de forma general. Normalmente no son gratis, pero cualquiera puede obtener una.
    • La solución fácil es no usar SMS para recuperar contraseñas.
      SMS quizá esté bien para autenticación de dos pasos, pero siempre debe ser el segundo factor. “Olvidé mi contraseña” → código por SMS → nueva contraseña es, en la práctica, autenticación de un solo factor. Usar SMS como único factor es realmente malo.
    • Exigir un PIN en la cuenta antes de un cambio de SIM u otra operación parece una barrera de entrada bastante útil.
      Así, para que un empleado corrupto ejecute el cambio de SIM, necesitaría información adicional que no tiene.
    • Un simple retraso temporal por sí solo podría resolver el 99% de los casos.
      Que el cambio solo sea posible si la SIM estuvo desconectada de la red móvil durante 48 horas; si no lo estuvo, se llama o se envía un mensaje a la SIM existente para confirmar que realmente se quiere hacer el cambio.
  • Trabajo en la industria de las criptomonedas y veo SIM swaps todo el tiempo. Se usan sobre todo para tomar cuentas de Twitter de personas conocidas, y luego publicar enlaces de phishing para robar las monedas de sus seguidores. En este campo, T-Mobile aparece mencionada por mucho más que otras, y como la mayoría de las víctimas usaba T-Mobile, esto viene de hace mucho.
    Otro gran problema de seguridad de Twitter es que pueden robarte la cuenta incluso si usas autenticación de dos pasos que no sea por SMS. Si la cuenta tiene un número telefónico, se usa como método de recuperación y se salta por completo la autenticación de dos pasos. Esta falla de seguridad existe desde hace años y todavía no la han corregido.

    • Casi todos los servicios que hoy admiten autenticación de dos pasos tienen esta vulnerabilidad de recuperación.
      Son poquísimos los sitios que permiten no proporcionar un número telefónico, o al menos impedir que se use como método de recuperación.
      Un simple bloqueo temporal ayudaría mucho. Por ejemplo, que la recuperación de autenticación de “dos” pasos basada en contraseña de un solo uso por SMS solo sea posible después de 24 horas y, al mismo tiempo, se envíen muchas alertas de “alguien que quizá no eres tú está intentando recuperar tu cuenta”, además de ofrecer al propietario legítimo de la cuenta una forma de detenerlo.
    • Muchos sitios tienen una falla que convierte la autenticación de dos pasos por SMS, en la práctica, en autenticación de un solo factor. Lo único necesario es el número telefónico.
      Es aún peor si eso se permite incluso cuando se usa autenticación de dos pasos que no sea por SMS, porque anula al 100% el propósito de usar un método alternativo de autenticación de dos pasos.
  • Es difícil creer que las contraseñas de un solo uso por SMS se usen con tanta frecuencia. Es algo públicamente conocido, y solo cambia una vía de ataque existente por una peor
    Romper una contraseña o entrar a una base de datos cifrada es 10 veces más difícil que lograr un SIM swap

    • Romper una buena contraseña es difícil, pero mucha gente no usa buenas contraseñas o las escribe sin pensarlo en cualquier formulario web de phishing
      Los códigos de dos factores con límite de tiempo pueden romperse con SIM swaps o phishing dirigido, pero eso es menos común que las campañas amplias de phishing basadas en spam
      Eso no significa que me guste la autenticación de dos factores por SMS; de hecho, la odio
    • Mi banco agregó hace poco una función que elimina SMS de las opciones de autenticación de dos factores y exige TOTP
      Ahora ojalá agregaran WebAuthn. Aun así, TOTP usado junto con el administrador de contraseñas integrado del navegador es bastante seguro contra phishing, porque si no aparece el autocompletado, uno puede sospechar
    • Es fácil, gratis para el cliente y, gracias a funciones como “code autofill” del iPhone, también ofrece la experiencia de usuario más simple
      Los SIM swaps les ocurren a muy pocas personas, así que para los involucrados no vale tanto la pena el esfuerzo. A mí tampoco me gusta, pero esa es la realidad
    • Pero cuando tiene éxito una vez, muchas cuentas quedan comprometidas al mismo tiempo
      Todo lo que hoy se basa solo en nombre de usuario y contraseña debería reemplazarse por passkeys. Los problemas que las passkeys no resuelven son la autenticación de dos factores y la recuperación de cuentas
    • Estrictamente hablando, no es un “reemplazo”. Antes de las contraseñas de un solo uso por SMS, solo había contraseñas
      Contraseña + contraseña de un solo uso por SMS es, por sí solo, mejor, por pésimo que sea el método por SMS
  • Parece que la FCC está implementando nuevas reglas para impedir los SIM swaps, y entrarían en vigor el 8 de julio de 2024. Sin embargo, viendo solo el comunicado de prensa no queda claro si podrán proteger a los clientes incluso cuando el actor malicioso sea un empleado de la operadora
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • No es broma: creo que habría mercado para crear una operadora móvil que exija una muestra de ADN al hacer cambios
    El ADN podría tomarse simultáneamente de varias fuentes, como sangre, saliva o una uña elegida al azar, y pasarse por hash para que el proveedor no almacene la cadena de ADN en sí. El ADN en sí no es como un UUID, así que haría falta algo de innovación, pero creo que es posible. Los VIP pagarían por este servicio, e incluso se podría ofrecer un seguro limitado contra daños por hackeos
    De paso, en un episodio de “Forensic Files” hubo un sospechoso que se inyectó una muestra de sangre de otra persona para evitar una prueba de ADN por una acusación de agresión sexual. Así que admito que el método con ADN también puede ser atacado. Por eso harían falta varias muestras aleatorias

    • También podría servir un escaneo de iris, como Worldcoin de Sam Altman
  • Realmente necesitamos un mejor estándar para la autenticación multifactor. Probablemente habría que tener una definición legal de autenticación multifactor y clasificar SMS como autenticación de dos pasos, al mismo nivel que algo como el correo electrónico
    Creo que la verdadera autenticación multifactor debería limitarse a Yubikey u otros dispositivos basados en certificados de hardware. Además, si solo se admite un token por método, no deberían poder promocionarlo como autenticación multifactor

  • Esto no es simplemente un problema de SIM o de T-Mobile
    La mayoría de los agentes de atención al cliente ganan muy poco, y especialmente en otros países no es difícil encontrar a alguien que, por una suma pequeña según estándares occidentales, haga una acción específica. Los agentes de atención al cliente suelen tener permisos potentes y acceso a información sensible, y los controles de acceso son deficientes
    Incluso si resolvemos los problemas de SMS y de la autenticación multifactor, los atacantes irán por el siguiente punto débil

    • Esta es otra razón de mi propuesta de crear una ley que exija que todo servicio de atención al cliente para clientes de EE. UU. esté ubicado en Estados Unidos, Reino Unido, Irlanda, Canadá, Australia o Nueva Zelanda
    • Dicho eso, idealmente el próximo punto débil debería ser mucho más seguro que empleados mal pagados y económicamente vulnerables
      Hasta donde sé, la autenticación de dos factores por SMS es la más fácil de vulnerar de todos los métodos. Al menos con el correo electrónico, primero se necesita la contraseña y, en algunos casos, también superar una autenticación de dos factores separada
  • Para lanzar una idea que parece sencilla: ofrecer una opción optativa que permita trasladar la línea de una cuenta a una SIM nueva solo cuando la SIM actual esté offline según la red de torres celulares
    También se podría impedir que atención al cliente eluda esta restricción
    Si alguien roba un teléfono, intentará ponerlo en modo avión lo antes posible para evitar el bloqueo de activación. Si lo dejaste caer al mar o por un acantilado, probablemente no seguirá funcionando mucho tiempo. Si te preocupa perderlo y que siga encendido sin poder encontrarlo, simplemente no activarías esta opción

    • Bastaría con enviar a la tarjeta SIM un mensaje que diga “¿Desea transferir?”
      Si no responde, se transfiere después de 48 horas; si responde “sí”, se transfiere de inmediato. Si responde “no”, la persona que solicitó la transferencia tiene que responder algunas preguntas
    • También se podría enviar una solicitud de confirmación a la línea actual y aplicar un período de gracia. Si se permite que el usuario elija por adelantado ese período de gracia, se puede evitar que alguien secuestre la línea sabiendo que el usuario está en un vuelo
      Por ejemplo, si perdiste el teléfono y podría estar en algún lugar de la calle, por lo que no puedes responder, la línea se transferiría unas 8 horas después si no hay respuesta a la solicitud de confirmación
    • Las funciones optativas de protección de SIM ya existen. Si bloqueas la tarjeta SIM, no se puede transferir la línea hasta desbloquearla