Risk ve finansal danışmanlık firması Kroll’da yakın zamanda meydana gelen bir tedarik zinciri ihlali, alt müşterileri etkiledi ve kripto ticaret firmaları FTX, BlockFI ve Genesis ile ilgili iflas davalarında yüzlerce davacının kişisel bilgilerini açığa çıkardı. Araştırmacılar, olayın SIM değiştirme saldırıları nedeniyle kuruluşlara yönelik süregelen tehlikeyi ve SMS tabanlı iki faktörlü kimlik doğrulamadan uzaklaşma ihtiyacını açık bir şekilde hatırlattığını belirtti.
Kroll ihlali, bir saldırganın bir çalışanın telefon numarasını saldırgan tarafından kontrol edilen bir cihaza aktarması ve ardından bunu hassas bilgilere erişmek için kullanması sonucu meydana geldi. SIM değiştirme veya SIM ele geçirme, bir saldırganın, mobil operatörünü mağdurun telefon numarasını saldırganın kontrol ettiği bir SIM karta aktarması için kandırarak hedefin cep telefonu işlevlerine yetkisiz erişim sağladığı bir tür hesap ele geçirme saldırısıdır.
Saldırılar birçok biçimde olabilir. Çin merkezli “Dağınık Örümcek” gibi bazı tehdit grupları, mobil operatörlere ait sistemlere girerek ve numaraları kendi başlarına taşıyarak SIM değiştirme saldırılarını büyük ölçekte gerçekleştirdi. Kroll vakasında saldırgan, T-Mobile’ı bir Kroll çalışanının telefon numarasını kendi cihazına taşımaya ikna etti. Bu onlara iflas ayrıntılarını içeren dosyalara erişmenin bir yolunu sağladı; Kroll, üç kripto firmasının tamamı için davalardaki iddia kanıtlarının dosyalanması ve saklanmasını yönetmek üzere tutuldu.
Geçen hafta yaptığı açıklamada Kroll, ihlalden 19 Ağustos’ta haberdar olduğunu belirterek, “Özellikle T-Mobile, Kroll veya çalışanından herhangi bir yetki veya temas olmaksızın, çalışanın telefon numarasını kendi isteği üzerine tehdit aktörünün telefonuna aktardı.” .
T-Mobile, Dark Reading’in yorum talebine hemen yanıt vermedi.
Müşterilere yapılan duyuruda, FTX, ihlalin isimleri açığa çıkardığını söylediFTX hesaplarındaki adresler, e-postalar ve bakiyeler. Genesis ihlali anlattı Benzer bir etkiye sahip olduğu gerekçesiyle mağdurları, kripto para hesaplarının, cüzdanlarının ve diğer dijital varlıklarının kontrolünü ele geçirmek için tasarlanmış kimlik avı girişimlerine karşı dikkatli olmaları konusunda uyardı.
SMS Tabanlı Kimlik Doğrulamayı Hedefleme
SIM değiştirme saldırılarında temel amaç genellikle kurbanın gelen kısa mesajlarının kontrolünü ele geçirerek SMS aracılığıyla gönderilen iki faktörlü kimlik doğrulama kodlarına müdahale etmektir. Bunlar daha sonra kurbanın bankasına ve diğer hesaplarına erişmek için kullanılıyor. Çoğu durumda tehdit grupları, kimlik avı kampanyaları için SIM değiştirmeli cihazları da kullandı.
Capterra’nın kıdemli güvenlik analisti Zach Capers, “SIM değiştirme saldırıları, SMS tabanlı çok faktörlü kimlik doğrulamayı yenmek için kullanılıyor, bu da genellikle hesapların ele geçirilmesine yol açıyor ve veri ihlallerine ve siber saldırılara yol açıyor” diyor. “Bu gerçek bir sorun çünkü Capterra’nın araştırması işletmelerin %42’sinin çok faktörlü kimlik doğrulama için SMS kullandığını ortaya koyuyor” diyor.
SIM Değiştirme Risklerini Azaltma
Capers, SIM değişiminin genellikle sosyal mühendislikle başladığını söylüyor; genellikle kimlik avı e-postası ve sosyal medyayı, şirket personeli sayfalarını veya diğer kaynakları kullanarak kurban hakkında arka plan araştırması yoluyla.
“Saldırgan bu bilgiyi kurbanın kimliğine bürünmek, cep telefonu operatörünün hesap güvenliğini aşmak ve onları telefon numarasını yeni bir cihaza taşımaya ikna etmek için kullanıyor. Saldırgan, bir kez taşındığında kimlik doğrulama kodlarını ele geçiriyor ve SMS tabanlı kimlik doğrulamayı kullanarak her şeye erişim sağlıyor , hassas iş bilgilerinden finansal hesaplara kadar” diyor. Capers, SIM değiştirme saldırılarının, işletmelerin SMS tabanlı kimlik doğrulamaya alternatifleri (biyometri ve fiziksel kimlik doğrulama anahtarları gibi) dikkate almaları gerektiğinin iyi bir nedeni olduğunu söyledi.
Zimperium güvenlik mimarı Georgia Weidman, bireylerin kişisel verilerini sosyal medya platformlarında ve diğer çevrimiçi forumlarda paylaşmayarak riskin bir kısmını en aza indirebileceğini ekliyor. Weidman, saldırganların genellikle bir telefon operatörünü telefon numarasını yeni bir SIM karta taşımaya ikna etmeye çalışırken akrabaların adları, fiziksel adresler ve e-posta adresleri gibi bilgileri kullanarak hedeflerin kimliğine büründüğünü söylüyor.
“İşletmeler ayrıca çalışanlarını SIM değiştirmenin yarattığı tehlike konusunda uyarabilir” diye belirtiyor ve “mobil hesaplarına bağlantı noktasının dondurulmasını tavsiye edebilir.”