Funcionários da T-Mobile em todo o país recebem ofertas em dinheiro para fazer troca ilegal de SIM
(tmo.report)- Funcionários da T-Mobile em todo os Estados Unidos estão recebendo mensagens de texto com pedidos ilegais para transferir linhas de clientes para SIMs controlados por atacantes
- As mensagens oferecem US$ 300 por caso e contato via Telegram, usando números de diferentes códigos de área para dificultar o bloqueio
- As mensagens dizem que o número do funcionário foi obtido do “T-Mo employee directory”, e os alvos incluem não só funcionários atuais, mas também ex-funcionários que saíram há alguns meses
- A T-Mobile afirmou que não houve comprometimento de sistemas, mas está investigando as mensagens que incentivam atividade ilegal, e casos semelhantes também foram relatados em outras operadoras sem fio
- Os clientes precisam reduzir a dependência de autenticação em duas etapas via SMS e diminuir o risco de tomada de conta usando apps autenticadores e ativando a SIM protection
Pedido direto de SIM swapping a funcionários
- SIM swapping é uma técnica em que o atacante transfere a linha telefônica da vítima para um SIM que ele controla, interceptando códigos de autenticação em duas etapas enviados à vítima para acessar contas online
- A vítima pode perder dinheiro de contas bancárias ou carteiras de criptomoedas
- Segundo vários posts no Reddit e relatos separados, funcionários da T-Mobile em todo os Estados Unidos estão recebendo mensagens oferecendo dinheiro em troca de SIM swapping
- As mensagens oferecem US$ 300 por troca de SIM e pedem contato pelo Telegram
- Os números de origem mudam entre vários números com diferentes códigos de área, o que dificulta bloquear isso apenas por número
Origem dos contatos dos funcionários e possibilidade de comprometimento
- As mensagens afirmam que os números de telefone dos funcionários foram obtidos do “T-Mo employee directory”
- Se isso for verdade, pode ter havido algum tipo de acesso ao diretório de funcionários da T-Mobile que contém esses contatos
- Ex-funcionários que deixaram a empresa há alguns meses também estão entre os alvos, o que sugere que é pouco provável que os atacantes tenham acesso em tempo real aos dados atuais
- Ainda não está confirmado de onde vieram os números dos funcionários
- Com base em comentários online, parece que alguns funcionários terceirizados foram afetados
- Também foi confirmado separadamente que funcionários corporativos atuais da T-Mobile receberam as mensagens
- É difícil afirmar com certeza que a origem seja a mesma do vazamento ligado à Connectivity Source em setembro de 2023
- Ainda assim, essa possibilidade não pode ser descartada
- O PR da T-Mobile respondeu que “não houve comprometimento de sistemas”
- A empresa continua investigando as mensagens enviadas para induzir atividade ilegal
- Outras operadoras sem fio também relataram mensagens semelhantes
Riscos que os clientes podem reduzir
- O fato de criminosos ainda verem o SIM swapping como um vetor de ataque lucrativo continua sendo um motivo de preocupação para os clientes
- Se alguns funcionários aceitarem a proposta de dinheiro rápido, as contas e os fundos dos clientes podem ficar diretamente em risco
- Medidas que os clientes podem tomar:
- Não deixar a autenticação em duas etapas de serviços online como baseada em SMS
- Usar apps autenticadores como Google Authenticator ou Authy
- Se um banco ou serviço de carteira de criptomoedas oferecer apenas autenticação em duas etapas por SMS, considerar migrar para outro serviço
- Ativar a SIM protection na conta da T-Mobile
1 comentários
Opiniões no Hacker News
A T-Mobile não poderia enviar seu próprio SMS fingindo aumentar a recompensa para os funcionários para US$ 600 e demitir quem respondesse?
Ou talvez pudesse mudar os termos do desconto em linhas de funcionários para permitir o monitoramento do conteúdo ou dos metadados de SMS a fim de detectar ameaças de segurança contra usuários da empresa.
Não sei se é legal fingir oferecer pagamento por troca de SIM, mas isso é uma questão secundária; no passado, vi poucas evidências de que a T-Mobile se importasse com esse tipo de coisa.
O próprio ataque de SIM swap com envolvimento de um “insider” não é novidade. O celular T-Mobile de um amigo próximo também foi atacado desse jeito em março de 2020.
O ponto central desta notícia é o encontro entre vazamento de dados e SIM swap. Criminosos estão usando números de telefone de funcionários incluídos em vazamentos recentes da T-Mobile para abordar muitos funcionários de uma vez por SMS, oferecendo US$ 300 por caso.
Antes, era preciso criar um insider por meio de contatos pessoais ou se candidatar diretamente e ser contratado; com os dados vazados, agora dá para automatizar e escalar isso.
Ou seja, o “método antigo” incluía não só cultivar insiders, mas também o processo de fazer o insider confiar no contratante.
Qual é a solução aqui? É realista impedir que funcionários de lojas físicas transfiram o número de telefone de um cliente para um novo SIM? O que fazer se o cliente disser que perdeu o celular ou que ele foi roubado?
Idealmente, deveria haver uma verificação de que o cliente estava de fato presente no local e de que o documento de identidade foi conferido, mas nos EUA não existe algo como uma identificação universalmente usada, então não sei como isso poderia ser feito. Além disso, acho que deveria ser possível obter um número de telefone mesmo sem documento, e nesses casos a verificação fica bloqueada.
O problema é que o celular virou, na prática, a raiz de confiança da nossa vida digital. É bom que passkeys sejam integradas ao sistema operacional, porque isso empurra esse problema para fora das operadoras, mas o problema fundamental permanece. Estabelecer confiança pela primeira vez é difícil.
Em “o cliente está de fato presente no local e o documento de identidade foi conferido”, que local seria esse? Minha MVNO não tem agência. Mesmo que tivesse, por que eu teria que ir até lá? Nem agência bancária eu vou, se puder evitar.
SMS até pode ser aceitável para autenticação de dois fatores, mas deve ser sempre o segundo fator. “Esqueci minha senha” → código por SMS → nova senha é, na prática, autenticação de 1 fator. Usar SMS como único fator é muito ruim.
Assim, para executar a troca de SIM, um funcionário corrupto precisaria de uma informação adicional que ele não tem.
A troca só deveria ser possível se o SIM tivesse ficado desconectado da rede móvel por 48 horas; se não estivesse desconectado, bastaria enviar uma ligação ou mensagem para o SIM antigo para confirmar se a pessoa realmente quer fazer a alteração.
Trabalho no setor de cripto e vejo SIM swap o tempo todo. Ele é usado principalmente para tomar contas de celebridades no Twitter e depois postar links de phishing para roubar as moedas dos seguidores. Nesse meio, a T-Mobile é mencionada de longe com mais frequência, e a maioria das vítimas diz que usava T-Mobile, então isso vem acontecendo há muito tempo.
Outro grande problema de segurança do Twitter é que, mesmo usando autenticação de dois fatores que não seja por SMS, ainda é possível perder a conta. Se houver um número de telefone na conta, ele é usado como meio de recuperação e contorna completamente a autenticação de dois fatores. Essa falha de segurança existe há anos e ainda não foi corrigida.
São pouquíssimos os sites que permitem não fornecer um número de telefone, ou pelo menos não usá-lo como meio de recuperação.
Mesmo um simples bloqueio por tempo já ajudaria muito. Por exemplo, permitir a recuperação da autenticação de “2” fatores baseada em senha descartável por SMS só depois de 24 horas e, ao mesmo tempo, enviar em massa alertas de “alguém que talvez não seja você está tentando recuperar sua conta”, oferecendo ao proprietário legítimo um meio de interromper o processo.
Se isso também for permitido mesmo quando a pessoa usa autenticação de dois fatores não baseada em SMS, é ainda pior e anula 100% o propósito de usar uma alternativa de 2FA.
É difícil acreditar que senhas descartáveis por SMS ainda sejam usadas com tanta frequência. É algo de conhecimento público, e só troca um vetor de ataque existente por um vetor pior
Quebrar uma senha ou invadir um banco de dados criptografado é pelo menos 10 vezes mais difícil do que conseguir um SIM swap
Códigos de 2FA com limite de tempo podem ser quebrados por SIM swap ou phishing direcionado, mas isso é menos comum do que campanhas amplas de phishing baseadas em spam
Isso não quer dizer que eu goste de 2FA por SMS; eu realmente odeio
Agora só queria que adicionassem WebAuthn. Ainda assim, TOTP usado junto com o gerenciador de senhas integrado ao navegador é bem seguro contra phishing, porque dá para desconfiar quando o preenchimento automático não aparece
SIM swap acontece com um número muito pequeno de pessoas, então, do ponto de vista dos envolvidos, o esforço não vale muito a pena. Eu também odeio, mas essa é a realidade
Hoje, tudo que se baseia apenas em nome de usuário e senha deveria ser substituído por passkeys. Os problemas que passkeys não resolvem são 2FA e recuperação de conta
Senha + senha descartável por SMS é, por si só, melhor, por pior que seja o método via SMS
Parece que a FCC está implementando novas regras para impedir SIM swaps, e elas entram em vigor em 8 de julho de 2024. Mas, olhando só o comunicado à imprensa, não fica claro se isso conseguirá proteger clientes quando o funcionário da operadora for o agente malicioso
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
Sem brincadeira, acho que haveria mercado para uma operadora móvel que exigisse amostras de DNA para fazer alterações
O DNA poderia ser coletado simultaneamente de várias fontes, como sangue, saliva e uma unha escolhida aleatoriamente, e passar por hash para que o provedor não armazenasse a própria sequência de DNA. DNA em si não é como um UUID, então seria necessária alguma inovação, mas acho possível. VIPs pagariam por esse serviço, e também daria para oferecer um seguro limitado contra prejuízos por invasões
Além disso, em um episódio de “Forensic Files”, havia um suspeito que injetou em si uma amostra de sangue de outra pessoa para tentar escapar de um teste de DNA em uma acusação de estupro. Então reconheço que o método por DNA também pode ser atacado. É por isso que seriam necessárias várias amostras aleatórias
Precisamos muito de padrões melhores para autenticação multifator. Talvez definir legalmente o que é autenticação multifator e classificar SMS como 2FA no mesmo nível de algo como e-mail
Acho que autenticação multifator de verdade deveria ser limitada a Yubikeys ou outros dispositivos baseados em certificados de hardware. E, se um método só permitir um token, não deveria poder ser anunciado como autenticação multifator
Na prática, algo como o iPhone Keychain parece estar perto do limite, e ele também depende em certo grau de segurança de hardware
https://passkeys.dev/
https://passkeys.directory/
Isso não é apenas um problema de SIM ou da T-Mobile
A maioria dos atendentes de suporte ao cliente recebe salários muito baixos e, especialmente em outros países, não é difícil encontrar alguém que aceite pouco dinheiro, pelos padrões ocidentais, para realizar uma ação específica. Atendentes de suporte ao cliente muitas vezes têm poderes fortes e acesso a informações sensíveis, e os controles de acesso são frouxos
Mesmo que resolvamos os problemas de SMS e autenticação multifator, os atacantes vão mirar o próximo ponto fraco
Pelo que sei, 2FA por SMS é o mais fácil de burlar entre todos os métodos. Pelo menos com e-mail seria preciso ter a senha primeiro e, em alguns casos, passar também por um 2FA separado
Uma ideia aparentemente simples seria oferecer uma opção opt-in em que a linha da conta só possa ser transferida para um novo SIM quando o SIM atual estiver offline do ponto de vista da rede de torres
Também daria para impedir que o atendimento ao cliente contornasse essa restrição
Se alguém roubar o telefone, provavelmente vai colocá-lo em modo avião o mais rápido possível para evitar o bloqueio de ativação. Se ele caiu no mar ou de um penhasco, é provável que não continue funcionando por muito tempo. Se a preocupação for tê-lo perdido, ele continuar ligado e você não conseguir encontrá-lo, então basta não ativar essa opção
Se não houver resposta, a transferência acontece após 48 horas; se a resposta for “sim”, acontece imediatamente. Se for “não”, quem solicitou a transferência precisa responder a algumas perguntas
Por exemplo, se você perdeu o telefone e ele pode estar em algum lugar na rua, sem que você consiga responder, a linha seria transferida cerca de 8 horas depois caso não houvesse resposta ao pedido de confirmação