T-Mobile angreb mere omfattende end først fremlagt

T-Mobile har bekræftet en dataovertrædelse, der påvirkede næsten 50 millioner mennesker, herunder både nuværende, tidligere og potentielle abonnenter. De eksponerede detaljer varierede på tværs af forskellige typer kunder, så niveauet af risiko som brugerne udsættes, er forskelligt.

Ofre for T-Mobile eller ethvert andet brud, hvor der stjæles personoplysninger, skal være opmærksomme på efterfølgende angreb, hvilke kan omfatte SMS/tekstbaseret phishing, SIM-bytte og uautoriseret nummerportering.

T-Mobile-dataovertrædelsen

Mandag bekræftede T-Mobile, at de undersøgte påstandene og fandt beviser for uautoriseret adgang til nogle af virksomhedens data omfattende, men angav ikke, hvilken type data der blev påvirket. Angrebet rammer formentligt data omfattende mere 100 millioner bruger. Onsdag afslørede mobiloperatøren, at de kompromitterede data omfatter fulde navne, fødselsdatoer, SSN’er og kørekort / ID-oplysninger for 7,8 millioner nuværende T-Mobile efterbetalte kunder samt over 40 millioner tidligere eller potentielle kunder, der havde ansøgt om kredit hos T-Mobile. Der blev ikke eksponeret telefonnumre, kontonumre, PIN-koder, adgangskoder eller økonomiske oplysninger for brugerne. Navne, telefonnumre og konto-PIN-koder blev dog eksponeret for 850.000 aktive forudbetalte T-Mobile-kunder.

Kontopinkoden er vigtige sikkerhedsoplysninger, som T-Mobiles kundeservicemedarbejdere bruger til at godkende kontohavere under kundeplejeopkald. Det er obligatorisk for alle konti og er mellem seks og 15 cifre langt. Hvis en hacker er i besiddelse af en brugers personlige oplysninger, telefonnummer og pinkode, kan vedkommende ringe til kundesupport og potentielt udgive sig for at være kontoejeren for at foretage ændringer af deres konti, hvilket muliggør forskellige angreb.

SMS phishing og offer profiler

En almindelig trussel efter ethvert dataovertrædelse er phishing, en form for social engineering, hvor angribere bruger de stjålne private oplysninger til at konstruere troværdige meddelelser, der udgiver sig for at være virksomheder eller mærker. Tidligere har angribere brugt data lækket fra et brud til at udgive sig for det samme firma, hvor overtrædelsen fandt sted, nogle gange endda ved hjælp af selve overtrædelsen for at få brugerne til at udføre handlinger, der udsatte yderligere oplysninger eller førte til malwareinfektioner.

I tilfælde af mobilkommunikation kan phishing-angreb lanceres via SMS-beskeder, der udgiver sig for at være mobiloperatøren. Af de 48 millioner nuværende, tidligere og potentielle T-Mobile-kunder, hvis personlige oplysninger blev udsat, kan angribere ikke målrette dem direkte med SMS-phishing, fordi deres telefonnumre ikke blev udsat. Mange lækkede datasæt på internettet fra adskillige andre overtrædelser inkluderer imidlertid telefonnumre og angribere kan potentielt krydshenvise dataene fra T-Mobile-overtrædelsen til tidligere lækkede data for at opdage telefonnumrene til mindst en delmængde af de berørte personer, da folk ikke ændrer deres telefonnumre ofte.

For de 850.000 forudbetalte kunder, der havde deres navne, telefonnumre og PIN-koder udsat, kunne angribere bruge data fra tidligere brud til at fuldføre profiler, der for eksempel manglede telefonnumre. Jo flere overtrædelser der opstår, jo lettere er det for angribere at opbygge komplette offerprofiler og starte angreb, der bliver stadig sværere at opdage af både virksomheder og brugere.

SIM-ombytning og mobilnummerportering

En anden type angreb, der er specifik for telefonbrugere, er SIM-swapping. Når en hacker formår at overbevise en mobiloperatør om at knytte et offers telefonnummer til et SIM-kort under deres kontrol for at modtage alle deres telefonopkald og tekstbeskeder. At skifte et telefonnummer til et andet SIM-kort er en legitim tjeneste, som mobiloperatører bruger, når en abonnents enhed mistes eller stjæles, eller når deres eksisterende SIM-kort holder op med at fungere eller skal opgraderes eller ændres af tekniske årsager.

SIM-swapping-angreb har vundet popularitet hos angribere i de senere år, fordi det giver dem mulighed for at omgå sikkerhedssystemer, der er afhængige af engangsbrugskoder, der sendes via SMS eller kommunikeres via et telefonopkald fra automatiserede systemer. Telefonbaseret verifikation er ofte standardindstillingen, der tilbydes af onlinetjenester til tofaktorgodkendelse, kontoidentitetskontrol og gendannelse, banktransaktionsgodkendelser og meget mere. Selv når brugere gør det muligt for en mobilapp-godkender at generere engangskoder til en onlinetjeneste, forbliver SMS eller stemme stadig aktiveret som en failover-mulighed og kan misbruges, medmindre den udtrykkeligt er deaktiveret.

SIM-swapping er generelt et målrettet angreb, hvor angriberen har opbygget en profil af offeret og har identificeret et værdifuldt aktiv, der er værd at gå på kompromis med, og de angrebsvektorer, der kræves for at gøre det. En angrebskæde kan være:

  • Identificer offeret: Identificer et offer, der sandsynligvis vil eje en stor mængde digital valuta, især cryptocurrency. Identificer ofrets mobiltelefonnummer og mobiltelefonselskabet.
  • Byt SIM-kortet: Socialt ingeniør en kundeservicerepræsentant fra mobiltelefonselskabet for at portere offerets telefonnummer til et SIM-kort og telefon i angriberens kontrol.
  • Nulstilling af adgangskode: Start nulstilling af adgangskode på offerets e-mail, skylagring og konti på sociale medier (nulstilling af adgangskode udføres normalt via tekstbeskeder til offerets telefonnummer).
  • Adgangskonti: Få adgang til offerets konti, og identificer digitale valutanøgler, tegnebøger og konti, der kan være gemt i dem. Besejr enhver SMS-baseret eller mobilapplikationsbaseret tofaktorautentisering på alle konti med kontrol over ofrets telefonnummer.
  • Stjæl valuta: Overfør den digitale valuta fra ofrets konto til konti, der kontrolleres af angriberne.

En variation af dette angreb er mobilnummerportering, hvor angribere, der udgiver sig for at være offeret, overbeviser deres operatør om at portere deres nummer til et andet SIM-kort på et andet netværk. Dette er en legitim tjeneste, der gør det muligt for mobilabonnenter at beholde det samme telefonnummer, når de skifter til en anden tjenesteudbyder. I februar sendte T-Mobile nogle af sine kunder et meddelelsesbrev om dataovertrædelse, der informerede dem om, at deres konti blev kompromitteret, og angribere porterede deres numre til et andet luftfartsselskab uden tilladelse.

T-Mobile-konto-PIN-koder er udtrykkeligt beregnet til at forhindre SIM-swapping eller nummerportering, da de fungerer som en ekstra metode til at kontrollere, at kontohaveren er den person, der fremsætter anmodningen. Efter dette nye brud nulstillede virksomheden PIN-koderne for de 850.000 forudbetalte kunder, der fik deres numre og telefonnumre eksponeret og opfordrede de andre 48 millioner nuværende, tidligere og potentielle efterbetalte kunder til at ændre deres PIN-koder, selvom der indtil videre ikke er noget bevis for, at deres PIN-koder ikke blev kompromitteret. Det udelukker ikke muligheden for, at angribere kan bruge de data, der er lækket i dette brud, til at udforme troværdige phishing-angreb for at bede ofrene om deres nye PIN-koder eller for at dirigere brugere til forfalskede sider, der beder om deres pinkode.

Mindskelse af risici ved brud på data

T-Mobile  tilbyder alle berørte kunder et gratis toårigt abonnement på McAfee’s ID Theft Protection Service, som omfatter kreditovervågning, fuld service identitet restaurering, identitetsforsikring, mørk web overvågning, og meget mere. Erhvervskunder og efterbetalte kunder kan også aktivere T-Mobiles kontoovertagelsesbeskyttelsestjeneste gratis, og alle T-Mobile-brugere kan bruge virksomhedens Scam Shield-app, der aktiverer opkalds-id og automatisk blokerer opkald, der er markeret som svindel.

Mere generelt bør alle mobilabonnenter sammen med deres luftfartsselskaber kontrollere, hvilke muligheder de har for at sikre deres konti mod SIM-bytte eller nummerportering, og de bør muliggøre denne yderligere verifikation. Brug af tekstbeskeder eller telefonopkald til tofaktorgodkendelse bør deaktiveres, hvor det er muligt til fordel for tofaktorgodkendelse via en mobilapp eller et dedikeret hardwaretoken, især for konti af høj værdi. E-mail-konti er konti af høj værdi, fordi de bruges til at bekræfte anmodninger om nulstilling af adgangskode for de fleste andre onlinekonti. Endelig skal du være på vagt over for e-mail eller tekstbeskeder, der beder om følsomme oplysninger såsom adgangskoder, PIN-koder, adgangstokens, eller som leder dig til websteder, der beder om sådanne oplysninger; især hvis disse meddelelser følger et meget omtalt dataovertrædelse. Hvis du modtager en mistænkelig meddelelse fra en tjeneste, du har en konto hos, skal du få adgang til virksomhedens websted ved at skrive den direkte i browseren eller ringe til deres kundesupportafdeling for at bekræfte meddelelsens legitimitet, før du handler på den.

Scroll til toppen