Empleados de T-Mobile en todo el país reciben ofertas de dinero a cambio de hacer SIM swapping ilegal

 (tmo.report)
1 puntos por GN⁺ 2024-04-16 | 1 comentarios | Compartir por WhatsApp

  • Empleados de T-Mobile están recibiendo ofertas de dinero a cambio de intercambiar SIM de forma ilegal

    • Actores maliciosos están contactando a empleados de T-Mobile y ofreciendo $300 por cada SIM swap
    • La oferta les pide contactar por Telegram desde distintos códigos de área y afirma que obtuvieron los números del directorio de empleados de T-Mobile
    • Según varias publicaciones en Reddit y personas que reportaron el caso a The Mobile Report, empleados de T-Mobile en todo el país se han visto afectados

  • Dudas sobre cómo se filtró la información personal de los empleados

    • La mayor pregunta es cómo los actores maliciosos consiguieron los números de teléfono de los empleados
    • Entre los empleados afectados hay algunos exempleados que ya no trabajan en la empresa desde hace meses, por lo que es probable que se trate de información de hace varios meses
    • Como parece incluir a empleados corporativos, da la impresión de que la fuente de los datos es distinta al incidente de filtración de Connectivity Source
    • T-Mobile respondió que no hubo una intrusión en sus sistemas y que sigue investigando los mensajes que incitan a cometer actos ilegales

  • Impacto para los clientes y medidas de prevención

    • Que los criminales sigan viendo el SIM swapping como una forma de ganar dinero indica que los esfuerzos de prevención de las empresas no han sido suficientes
    • Dado que las ofertas llegaron a muchos empleados, existe la posibilidad de que algunos acepten, lo que podría poner en riesgo las cuentas y fondos de los clientes
    • Los clientes pueden tomar medidas preventivas, como usar autenticación en dos pasos basada en apps en lugar de SMS y activar la protección de SIM en su cuenta de T-Mobile
    • Si un banco o billetera de criptomonedas solo admite SMS, conviene considerar cambiar de servicio

  • Esperemos que no sea una nueva filtración en una operadora conocida por recientes fugas de datos

    • El mejor escenario es que esto esté relacionado con la filtración de septiembre, pero también existe la posibilidad de que sea una nueva filtración
    • The Mobile Report seguirá actualizando la información a medida que surjan nuevos datos

Opinión de GN⁺

  • El SIM swapping no es un problema nuevo, pero un intento organizado dirigido a empleados de una operadora es algo poco común. Parece necesario reforzar las medidas de seguridad de las telecos frente a amenazas internas
  • La mayoría de los clientes de las tres grandes operadoras usan SMS para la autenticación en dos pasos, por lo que el alcance potencial del daño es grande. Urge elevar la conciencia de los usuarios y preparar medidas técnicas complementarias
  • T-Mobile ya venía con su credibilidad debilitada por las frecuentes filtraciones recientes de datos de clientes, así que el impacto de este caso podría ser considerable. Hace falta una investigación exhaustiva y medidas para evitar que se repita
  • No se puede descartar la posibilidad de que la filtración de datos de empleados haya sido obra de alguien interno. Es especialmente sospechoso considerando que incluso incluye datos de exempleados que ya cambiaron de trabajo
  • Más allá del nivel de las operadoras, hace falta regular legalmente el SIM swapping y aumentar la severidad de las sanciones. Las penas son débiles en comparación con la magnitud del daño, lo que incentiva este tipo de delitos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-04-16
Opinión de Hacker News
  • Que T-Mobile envíe SMS falsos para despedir empleados es poco ético y discutible
  • Tras la reciente filtración de datos de T-Mobile, surgió una nueva técnica de ataque en la que los criminales obtienen en masa los números de teléfono de empleados para inducir el intercambio fraudulento de SIM
  • Para resolver el problema del intercambio de SIM, sería necesario reforzar los procedimientos de verificación de identidad del cliente, pero en Estados Unidos esto es difícil porque no existe un sistema universal de identificación
  • Existe un problema de fondo: los números de teléfono son la base de confianza de la vida digital. Mejoras a nivel del sistema operativo, como las passkeys, podrían ayudar
  • Los OTP por SMS siguen usándose mucho, aunque en la práctica sustituyen un vector de ataque por otro más débil
  • La FCC planea aplicar reglas contra el intercambio fraudulento de SIM a partir de julio de 2024, pero no está claro si podrán frenar también los ataques internos
  • Hace falta una definición legal y estándares para la MFA. Lo deseable sería clasificar el SMS como 2SA y limitar la MFA a métodos de autenticación por hardware
  • Los bajos salarios del personal de atención al cliente de las telecos, junto con su fuerte nivel de privilegios y controles de acceso débiles, están detrás de los ataques internos
  • Incluso si se resuelve el problema de la SIM, los atacantes buscarán otras vulnerabilidades, por lo que es necesario seguir reforzando la seguridad
  • Podría considerarse permitir el cambio a una nueva SIM solo cuando la SIM anterior quede fuera de línea, y únicamente si el usuario lo autorizó