近日,研究人员发现了一些与回收手机号码相关的隐私和安全风险。这些号码可能被滥用于进行各种黑客攻击,包括帐户窃取、网络钓鱼和垃圾邮件攻击,甚至阻止受害者注册在线服务。将近66%的回收样本被发现与以前所有者在热门网站上的在线帐户相关联,这使得黑客可以通过简单地恢复与这些号码相关联的帐户来执行帐户劫持。研究人员说:“攻击者可以循环显示在线号码转换界面上显示的可用号码,并检查其中是否有任何号码与之前所有者的在线帐户相关联。”如果是这样,攻击者可以获得这些号码并重置帐户密码,并在登录时接收并正确输入通过短信发送的一次性密码。这些发现是对美国电信巨头T-Mobile和VerizonWireless的新用户可用的259个手机号码样本分析的一部分。该研究由普林斯顿大学的KevinLee和信息技术政策中心执行委员会的ArvindNarayanan教授进行。手机号码回收是指将废弃的手机号码重新分配给运营商的其他新用户的标准做法。据FCC估计,美国每年有3500万个手机号码被遗弃。但是,如果攻击者通过在两家运营商提供的在线接口中随机输入此类号码进行反向查找,遇到回收号码,购买并成功登录该号码对应的受害者账户,这也可能会造成严重的后果危险。该攻击的核心策略是运营商在其预付费接口上对可换号码的可用号码没有查询限制,只是显示“完整号码,使攻击者可以在确认换号前发现循环号码”。并且,已确定100个样本手机号码与过去涉及数据泄露的电子邮件地址相关联,从而允许第二种类型的帐户劫持绕过基于SMS的多因素身份验证。在第三次攻击中,259个可用号码中的171个被列在BeenVerified等用户搜索服务上,在此过程中暴露了之前用户的敏感个人信息。研究人员解释说:“一旦他们获得了之前用户的号码,他们就可以进行冒充攻击以实施欺诈,或者挖掘之前用户积累的个人身份信息(PII)。”个人身份信息(PII)有多种形式,在许多情况下,它是在您没有意识到的情况下创建的。这些数据可用于了解您、您的习惯、您的兴趣,并可被恶意行为者货币化或用于窃取您的身份或入侵您的帐户。多重身份验证提供商Okta在其《2020年隐私成本报告》中列出了13类可被视为PII的数据:用户名和密码;电子邮件和已发送的消息;输入在线表格的数据;网络资料;网页浏览历史;在线时的实际位置;在线购买;搜索历史记录;社交媒体帖子;使用的设备;网上完成的工作;在线视频观看;在线音乐播放列表;美国国家标准与技术研究院(NIST)将PII宽泛地定义为“由机构维护的关于个人的任何信息,包括任何可用于区分或追踪个人身份的信息,例如姓名、社会安全号码、日期和地点出生信息、母亲的婚前姓氏或生物识别记录;以及与个人相关或可能与个人相关的任何其他信息,例如医疗、教育、财务和就业信息。”除了上述三种反向查找攻击外,手机号码回收还对以前和未来的用户构成威胁,构成了五种额外的威胁,允许恶意行为者冒充过去的用户,劫持受害者的??在线手机账户和其他相关在线账户,更糟糕的是,进行拒绝服务攻击。攻击者获得一个号码后,后悔注册了一个需要手机号码的在线服务,然后发布该号码。当受害者获得这个号码并试图申请同样的服务,他们被拒绝了,因为该帐户已经存在。攻击者可以通过短信联系受害者,并要求一定数量的钱来转移平台上的号码。针对这一发现,T-Mobile表示已更新它的“更改您的电话号码”支持页面包含提醒用户“更新可能保存了您的电话号码的任何帐户的联系电话,例如作为银行账户通知、社交媒体等。”并为FCC规定的允许重新分配旧号码的号码规定了45天的有效期。同样,Verizon对其“管理Verizon移动服务”支持页面也进行了类似的更改。然而,两家公司似乎都没有做出任何具体的改变来增加攻击的难度。这项研究提供了另一个证据,证明基于SMS的身份验证是一种危险的方法,因为上述攻击可能允许攻击者在不知道密码的情况下劫持支持SMS2FA的帐户。专家建议,如果您需要放弃手机号码,请先将其与在线服务断开连接。还可以使用更安全的SMS-2FA替代方案,例如身份验证器应用程序。本文翻译自:https://thehackernews.com/2021/05/new-study-warns-of-security-threats.html
