Könnte Ihr mobiles Voicemail-System Hackern helfen, Ihre Online-Konten freizuschalten?

1993 reichte Peter Steiner beim New Yorker Magazin einen Feder-Cartoon mit zwei Hunden an einem Schreibtisch ein.  Einer von ihnen sitzt vor einem Computerbildschirm und sagt zu dem anderen:

"Im Internet weiß niemand, dass Sie ein Hund sind"

Steiner und The New Yorker wussten damals wahrscheinlich nicht, wie wahr das war und welche Herausforderung das Problem werden würde, da immer mehr kritische Informationen im Internet gespeichert wurden und die Leute begannen, Online-Dienste für Bank- und Finanzgeschäfte zu nutzen Transaktionen.

Natürlich kann jeder behaupten, im Internet zu sein, wer immer er will, aber um Identitäten richtig zu authentifizieren, ist mehr erforderlich als die einfache Behauptung "Ja, ich bin Rex 'Besitzer".

Das erste, was passierte, war, dass die Leute aufgefordert wurden, Passwörter zu wählen.

Leider sind Menschen monumental schlecht darin, Passwörter auszuwählen (und sich daran zu erinnern).

Benutzer verwenden normalerweise statische, sich nicht ändernde Benutzernamen und Kennwörter.  Diese können für Angreifer einfach sein, um durch Low-Tech-Phishing-Angriffe und grundlegende Keylogging-Spyware zu greifen, oder Benutzer können einfach nachlässig mit ihnen umgehen.

Und es wird immer komplizierter für Benutzer, die Schwierigkeiten haben, mehrere Passwörter für mehrere Onlinedienste (ob beruflich oder privat) auf mehreren Geräten zu verwalten - Arbeitsdesktop, Heim, mobiles Tablet usw. usw.  Es ist genug, um jemandem Kopfschmerzen zu bereiten.

Und jeden Tag kommen neue Apps und Dienste heraus - und die Benutzer möchten sie unbedingt ausprobieren, sich für sie anmelden und sie vielleicht einige Tage später löschen.

Das Online-Leben wird immer komplizierter, und es ist kein Wunder, dass schätzungsweise 80% aller Hacking-Verstöße darauf zurückzuführen sind, dass Menschen einfache Passwörter verwenden, die leicht zu knacken oder zu erraten sind.

Die Multi-Faktor-Authentifizierung ist die Antwort auf das Kennwortproblem, da zwei oder mehr der folgenden Anforderungen gestellt werden:

• etwas, das Sie haben (vielleicht eine Karte, ein Telefon, einen Schlüsselanhänger)
• etwas, das Sie wissen (eine PIN oder ein Passwort)
• etwas, das Sie sind (eine biometrische, wie Ihr Fingerabdruck)

Es ist gut, dass hochkarätige Dienste wie Google, Facebook, LinkedIn und andere dem Beispiel reiferer Branchen wie des Bankensektors gefolgt sind und Multifaktor-Authentifizierungslösungen eingeführt haben.  Das heißt aber nicht, dass sie notwendigerweise alle möglichen Angriffsmöglichkeiten in Betracht gezogen haben.

Zum Beispiel dieses Wochenende die Sydney Morning Herald berichtet Wie Handynutzer in Australien, die 2FA haben, um ihre Google-, Yahoo-, Facebook- und LinkedIn-Profile zu sichern, ihre Konten kompromittiert haben könnten.

Der Grund? Die Art und Weise, wie diese Websites 2FA-Codes als Nachricht auf mobilen Voicemail-Systemen hinterlassen können.

Der in Sydney ansässige Sicherheitsforscher Shubham Shah entdeckte, dass Voicemail eine solche Schwachstelle in der Kette sein könnte, dass ein Angreifer um den 2FA-Schutz herum walzen könnte.

Um einen Angriff auszuführen, zeigte Shah, dass ein Angriff nur Folgendes erfordern würde:

• Benutzername / E-Mail & Passwort des Opfers. (Möglicherweise durch einen gezielten Phishing-Angriff ergriffen oder wenn der Benutzer in der Vergangenheit die besten Kennwortsicherheitspraktiken nicht befolgt hat)
• Die Handynummer, die das Opfer dem 2FA-Dienst zugeordnet hatte. (Oft Informationen, die leicht verfügbar sind)
• Ein Spoofing-Service für Mobiltelefonnummern. (Eine Möglichkeit, eine andere Nummer anzuzeigen - die Rufnummer (Calling Line Identification, CLI) - als die, die Sie gerade anrufen und die zu geringen Kosten über das Internet verfügbar ist.)
• Die Voicemail-Nummer des Mobilfunknetzes für den Fernzugriff. (nur eine Google-Suche entfernt)

Shah erklärt, wie der Angriff dann funktionieren würde:

Die erste Phase des Exploits:

• Der Angreifer meldet sich in einer 2FA-fähigen Webanwendung beim Opferkonto an
• Der Angreifer führt einen Anruf mit der Telefonnummer des Opfers durch (nur 20 bis 30 Sekunden erforderlich).
• Unmittelbar danach wählt der Angreifer die alternative 2FA-Option, um den 2FA-Code per Telefonanruf zu senden
• Wenn das Opfer an dem Anruf des Angreifers beteiligt ist, sendet der 2FA-Telefonanrufdienst den 2FA-Code an die Voicemail des Opfers. sofort .

Wir sind jetzt an einem Punkt angelangt, an dem die Voicemail des Opfers den 2FA-Code enthält, der für den Zugriff auf die Website oder den Onlinedienst erforderlich ist.

Der Angreifer muss lediglich auf die Voicemail des Opfers zugreifen, indem er den Spoofing-Dienst verwendet, um so zu tun, als würde er vom eigenen Telefon des Opfers aus anrufen.  Wie Shubham Shah zeigte, waren mehr als 9,59 Millionen australische Optus-Mobilfunkteilnehmer gefährdet, da ihre Voicemail-Systeme nicht die Eingabe einer PIN für den Zugriff auf Voicemail von der "eigenen" Telefonnummer eines Benutzers verlangten.

Im vergangenen Monat, Das Register ein gefunden ähnliches Problem mit zwei britischen Mobilfunknetzen, nachdem sie ein VOIP-System so programmiert hatten, dass es vorgibt, die Handynummer des Voicemail-Kontos zu sein, das es hacken wollte.

Kurz gesagt, wenn Ihr Mobilfunkbetreiber Ihr Voicemail-System nicht ordnungsgemäß geschützt hat, kann ein Onlinedienst, der bereit ist, eine Voicemail mit Ihrem 2FA-Code zu hinterlassen, Ihre Konten gefährden.

Glücklicherweise gibt es dafür einige einfache Lösungen, die es immer noch schaffen, den richtigen Kompromiss zwischen Sicherheit, Kosten und Benutzerfreundlichkeit zu finden.

Erstens müssen Mobilfunkbetreiber die Voicemail-Sicherheit verbessern.  Im Idealfall verlassen sie sich nicht nur auf die CLI, um festzustellen, wer versucht hat, auf das Voicemail-Konto zuzugreifen, sondern können auch eine PIN anfordern, die der Benutzer bereits eingerichtet hat.

Zweitens, warum haben Websites wie Facebook und Google überhaupt Voicemails mit 2FA-Codes hinterlassen? Wenn es dort nie zurückgelassen worden wäre, hätte der Hacker keine Gelegenheit, es wegen Missbrauchs wiederherzustellen. In Anbetracht der Tatsache, dass es für einige sehr hilfreich sein kann, Ihren 2FA-Code per Telefonanruf zu erhalten (siehe die oben genannten Kriterien für die Benutzerfreundlichkeit), besteht die Anforderung darin, einen Weg zu finden, um diesen Anruf zu übermitteln, ohne das Risiko einzugehen, die Informationen zu belassen eine Voicemail.

Die Antwort ist, dass beim automatisierten Telefonanruf der 2FA-Code nicht ausgelesen wird, * es sei denn * es gab eine Benutzerinteraktion während des Anrufs.  Bitten Sie den Benutzer beispielsweise, die Nummer "x" zu drücken, um seinen Authentifizierungscode zu erhalten. Ihre Voicemail-Begrüßung interagiert nicht mit dem Anruf, sodass keine kompromittierende Nachricht hinterlassen wird.

Es gibt eine endgültige Lösung.  Damit sollen Authentifizierungssysteme abgeschafft werden, die auf Telefonanrufen und SMS-Nachrichten beruhen und stattdessen auf alternativen Authentifizierungsmethoden beruhen.

Wenn Sie mehr über Shubham Shahs Entdeckung und die Reaktion verschiedener Online-Dienste auf Nachrichten über das Problem erfahren möchten, lesen Sie seine Blogeintrag .

Wenn das alles sehr kompliziert klingt, möchten Sie vielleicht nachforschen Cloud-basierte Authentifizierungslösungen Dies kann Ihre Daten authentifizieren und Ihre Inhalte sichern und mit mehreren Diensten arbeiten, unabhängig von den Anmeldemethoden. Es wird niemals angeboten, Ihnen eine Voicemail mit einer geheimen PIN zu hinterlassen.