Neue Studie warnt vor Sicherheitsbedrohungen durch wiederverwendete Telefonnummern

Cyber Security News

Eine neue akademische Studie hat eine Reihe von Datenschutz- und Sicherheitsfallen im Zusammenhang mit der Wiederverwendung von Handynummern aufgezeigt, die missbraucht werden könnten, um eine Vielzahl von Exploits zu inszenieren, einschließlich Kontoübernahmen, die Durchführung von Phishing- und Spam-Angriffen und sogar die Verhinderung der Anmeldung von Opfern bei Online-Diensten.

Bei fast 66 % der untersuchten recycelten Nummern wurde festgestellt, dass sie mit Online-Konten früherer Besitzer auf beliebten Websites verknüpft waren, was möglicherweise Account-Hijacks ermöglicht, indem die mit diesen Nummern verknüpften Konten einfach wiederhergestellt werden.

“Ein Angreifer kann die verfügbaren Nummern, die auf Online-Nummernänderungsschnittstellen angezeigt werden, durchgehen und prüfen, ob eine von ihnen mit Online-Konten früherer Besitzer verknüpft ist”, so die Forscher. Wenn dies der Fall ist, kann der Angreifer diese Nummern erhalten und das Passwort für die Konten zurücksetzen sowie das per SMS gesendete OTP bei der Anmeldung empfangen und korrekt eingeben.”

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Die Ergebnisse sind Teil einer Analyse einer Stichprobe von 259 Telefonnummern, die neuen Abonnenten der US-amerikanischen Telekommunikationskonzerne T-Mobile und Verizon Wireless zur Verfügung stehen. Die Studie wurde von Kevin Lee von der Princeton University und Prof. Arvind Narayanan durchgeführt, der eines der Vorstandsmitglieder des Center for Information Technology Policy ist.

Unter Rufnummernrecycling versteht man die gängige Praxis, abgeschaltete Telefonnummern an andere neue Teilnehmer des Betreibers neu zu vergeben. Dies kann jedoch auch ernsthafte Gefahren mit sich bringen, wenn ein Angreifer einen Reverse-Lookup durchführt, indem er solche Nummern zufällig in die von den beiden Betreibern angebotenen Online-Schnittstellen eingibt, und wenn er auf eine recycelte Nummer stößt, diese kauft und sich erfolgreich in das Opferkonto einloggt, mit dem die Nummer verknüpft ist.

Der Kern des Angriffs, Strategie ist das Fehlen von Abfragelimits für verfügbare Nummern, die von den Betreibern auf ihren Prepaid-Schnittstellen auferlegt werden, um Nummern zu ändern, zusätzlich zur Display “voller Nummern, die einem Angreifer die Möglichkeit gibt, recycelte Nummern zu entdecken, bevor er einen Nummernwechsel bestätigt.”

[Blocked Image: https://thehackernews.com/images/-GvQe4nCJRfw/YJKcLLDoTFI/AAAAAAAACdc/v5krZX7IxrEOaT5SpUevNcxL1uuknWlDQCLcBGAsYHQ/s0/phone-number.jpg]

Darüber hinaus wurden 100 der untersuchten Telefonnummern als mit E-Mail-Adressen verknüpft identifiziert, die in der Vergangenheit in eine Datenverletzung verwickelt waren, was Kontokaperungen einer zweiten Art ermöglicht, die die SMS-basierte Multi-Faktor-Authentifizierung umgehen. In einem dritten Angriff wurden 171 der 259 verfügbaren Nummern bei Personensuchdiensten wie BeenVerified aufgelistet und gaben dabei sensible persönliche Informationen der früheren Besitzer preis.

“Sobald sie die Nummer des Vorbesitzers erhalten haben, können sie Imitationsangriffe durchführen, um Betrug zu begehen oder noch mehr PII über die Vorbesitzer anzuhäufen”, erklärten die Forscher.

Neben den bereits erwähnten drei Reverse-Lookup-Angriffen zielen fünf weitere Bedrohungen, die durch das Telefonnummern-Recycling ermöglicht werden, sowohl auf frühere als auch auf künftige Besitzer ab und ermöglichen es einem böswilligen Akteur, sich als frühere Besitzer auszugeben, das Online-Telefonkonto des Opfers und andere verknüpfte Online-Konten zu kapern und, schlimmer noch, Denial-of-Service-Angriffe auszuführen.

“Der Angreifer beschafft sich eine Nummer, meldet sich bei einem Online-Dienst an, der eine Telefonnummer benötigt, und gibt die Nummer frei”, so die Forscher. “Wenn ein Opfer die Nummer erhält und versucht, sich für denselben Dienst anzumelden, wird es aufgrund eines bestehenden Kontos abgewiesen. Der Angreifer kann das Opfer per SMS kontaktieren und eine Zahlung verlangen, um die Nummer auf der Plattform freizugeben.”

Als Reaktion auf die Feststellungen hat T-Mobile nach eigenen Angaben seine Support-Seite “Ändern Sie Ihre Telefonnummer” mit Informationen aktualisiert, die die Nutzer daran erinnern, “Ihre Kontaktnummer auf allen Konten zu aktualisieren, auf denen Ihre Nummer möglicherweise gespeichert ist, z. B. Benachrichtigungen für Bankkonten, soziale Medien usw.”, und die von der FCC vorgeschriebene Alterung der Nummer von 45 Tagen anzugeben, um die Neuzuweisung alter Nummern zu ermöglichen.

Verizon hat ebenfalls ähnliche Überarbeitungen auf seiner Support-Seite “Manage Verizon mobile service” vorgenommen. Aber keiner der beiden Anbieter scheint konkrete Änderungen vorgenommen zu haben, die die Angriffe schwieriger machen.

Wenn überhaupt, ist die Studie ein weiterer Beweis dafür, warum SMS-basierte Authentifizierung eine riskante Methode ist, da die oben beschriebenen Angriffe es einem Angreifer ermöglichen könnten, ein SMS 2FA-aktiviertes Konto zu kapern, ohne das Passwort zu kennen.

“Wenn Sie Ihre Nummer aufgeben müssen, sollten Sie sie zuerst von Online-Diensten abmelden”, sagte Narayanan in einem Tweet. “Ziehen Sie kostengünstige Dienste zum “Parken” der Nummer in Betracht. Verwenden Sie sicherere Alternativen zu SMS-2FA wie Authentifizierungs-Apps.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com