En un nuevo artículo titulado “Un hacker consiguió todos mis mensajes de texto por $ 16, “El vicereportero Joseph Cox detalló cómo el pirata informático de sombrero blanco, un empleado de un proveedor de seguridad, pudo redirigir todos sus mensajes de texto y luego ingresar a cuentas en línea que dependen de los mensajes de texto para la autenticación.
No se trataba de una estafa de intercambio de SIM, en la que “los piratas informáticos engañan o sobornan a los empleados de telecomunicaciones para que transfieran el número de teléfono de un objetivo a su propia tarjeta SIM”, escribió Cox. “En cambio, el hacker utilizó un servicio de una empresa llamada Contacto, que ayuda a las empresas a realizar marketing por SMS y mensajería masiva, para redirigir mis mensajes hacia él “.
Este método engañó a T-Mobile para que redirigiera los mensajes de texto de Cox de una manera que podría no haber sido evidente para un usuario desprevenido. “A diferencia de la captura de SIM, donde una víctima pierde el servicio celular por completo, mi teléfono parecía normal”, escribió Cox. “Excepto que nunca recibí los mensajes destinados a mí, pero él los recibió”.
El hacker, que se hace llamar “Lucky225”, es director de información de Okey Systems, un proveedor de seguridad. “Usé una tarjeta prepaga para comprar [Sakari’s] Plan de $ 16 por mes y luego, después de eso, me permitió robar números con solo completar la información de la LOA con información falsa “, le dijo el empleado de Okey a Cox. La” LOA “es” una carta de autorización, un documento que dice que el el firmante tiene autoridad para cambiar números de teléfono “, escribió Cox.
“Unos minutos después de que ingresaron mi número de T-Mobile en Sakari, [the hacker] comencé a recibir mensajes de texto que estaban destinados a mí “, escribió Cox.” No recibí ninguna llamada o notificación de texto de Sakari pidiendo confirmar que mi número sería utilizado por su servicio. Simplemente dejé de recibir mensajes de texto “.
Después de obtener acceso a los mensajes de Cox, “el pirata informático envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas”, decía el artículo.
“En cuanto a cómo Sakari tiene esta capacidad para transferir números de teléfono, [researcher Karsten] Nohl de Laboratorios de investigación de seguridad dijo, ‘no existe un protocolo global estandarizado para reenviar mensajes de texto a terceros, por lo que estos ataques dependerían de acuerdos individuales con empresas de telecomunicaciones o concentradores de SMS’ ”, escribió Cox.
Si bien Cox es un usuario de T-Mobile, el hacker le dijo que “el operador no importa … Es básicamente el salvaje oeste”.
CTIA: los transportistas ahora toman “medidas de precaución”
Okey ofrece una herramienta para monitorear cambios maliciosos en el servicio móvil de un usuario. “Regístrese en nuestra versión beta gratuita y supervisaremos las comunicaciones fuera de banda, como las rutas y la configuración del operador. Si se produce un evento malicioso, le avisaremos a través de formas alternativas de comunicación confiable”, dice la compañía.
Es posible que los propios transportistas puedan detener este tipo de ataque en el futuro. T-Mobile, Verizon y AT&T remitieron a Cox a CTIA, la asociación comercial que representa a los principales operadores de telefonía móvil. CTIA le dijo a Cox:
Después de conocer esta amenaza potencial, trabajamos de inmediato para investigarla y tomamos medidas de precaución. Desde entonces, ningún operador ha podido replicarlo. No tenemos indicios de ninguna actividad maliciosa que involucre la amenaza potencial o que algún cliente se haya visto afectado. La privacidad y seguridad del consumidor es nuestra principal prioridad y continuaremos investigando este asunto.
Esa declaración no dice exactamente qué medidas de precaución han tomado los transportistas para evitar el ataque. Nos comunicamos con T-Mobile y CTIA hoy y actualizaremos este artículo si obtenemos más información.
Al parecer, Sakari también ha mejorado la seguridad. El cofundador de Sakari, Adam Horsman, le dijo a Cox que Sakari, desde que se enteró del ataque, “actualizó nuestro proceso de mensajería alojada para detectar esto en el futuro” y “agregó una función de seguridad en la que un número recibirá una llamada automatizada que requiere la que el usuario envíe un código de seguridad a la empresa para confirmar que tiene consentimiento para transferir ese número “.
Nos contactamos con Sakari hoy sobre su seguridad e integración con T-Mobile y actualizaremos este artículo si obtenemos una respuesta. Si bien Sakari estuvo involucrado en este caso, otras compañías de terceros también pueden tener integraciones con operadores que abren a los clientes de los operadores a ataques. Los propios operadores deben tener más cuidado al brindar a los proveedores externos la capacidad de redirigir los mensajes de texto.
Actualización a las 2:48 pm EDT: Sakari respondió a Ars con una declaración que decía: “Hemos cerrado esta laguna de la industria en Sakari y otros proveedores de SMS y operadores deberían hacer lo mismo. Cuando transfieres un número de teléfono móvil en los EE. UU., Como un cliente que cambia de proveedor por voz llamadas, el operador que abandona autoriza la salida de su número. No existe un estándar de la industria para transferir la propiedad de los mensajes en números móviles. Sakari ya va más allá de los estándares de la industria en la verificación de nuevos clientes y siguió las pautas de nuestro operador al pie de la letra, pero A la luz de este desarrollo, ahora agregamos una llamada de verificación telefónica a todos los números nuevos habilitados para texto para que nadie pueda usar Sakari para explotar nuevamente esta laguna de la industria. Los SMS son un medio de comunicación enormemente poderoso y, a medida que continúa dominando la comunicación panorama, agradeceríamos las mejoras necesarias de la industria, tanto a los operadores como a los revendedores “.
La historia de Cox no es el primer recordatorio sobre la inseguridad de los mensajes de texto. Los ataques de intercambio de SIM y las fallas en los protocolos telefónicos SS7 ya hacían que el uso de mensajes de texto para la autenticación fuera arriesgado, pero muchos sitios web y otros servicios en línea aún dependen de los mensajes de texto para verificar las identidades de los usuarios. Los clientes pueden configurar PIN de cuenta con T-Mobile y otro portadores para evitar el acceso no autorizado a sus cuentas móviles, pero no está claro si hacerlo habría evitado el tipo de ataque que redirigió los mensajes de texto de Cox.