Une nouvelle étude universitaire a mis en évidence un certain nombre de pièges en matière de confidentialité et de sécurité associés au recyclage des numéros de téléphone mobile qui pourraient être utilisés de manière abusive pour organiser divers exploits, notamment des prises de contrôle de compte, mener des attaques de phishing et de spam, et même empêcher les victimes de s’inscrire à des services en ligne .

Près de 66% des numéros recyclés qui ont été échantillonnés se sont avérés être liés aux comptes en ligne des anciens propriétaires sur des sites Web populaires, ce qui pourrait potentiellement permettre des détournements de compte en récupérant simplement les comptes liés à ces chiffres.

“Un attaquant peut parcourir les numéros disponibles affichés sur les interfaces de changement de numéro en ligne et vérifier si l’un d’entre eux est associé à des comptes en ligne d’anciens propriétaires”, selon les chercheurs. mentionné. Si tel est le cas, l’attaquant peut alors obtenir ces numéros et réinitialiser le mot de passe sur les comptes, et recevoir et saisir correctement l’OTP envoyé par SMS lors de la connexion. “

auditeur de mot de passe

Les résultats font partie d’une analyse d’un échantillon de 259 numéros de téléphone disponibles pour les nouveaux abonnés des majors des télécommunications américaines T-Mobile et Verizon Wireless. L’étude a été entreprise par Kevin Lee de l’Université de Princeton et le professeur Arvind Narayanan, qui est l’un des membres du comité exécutif du Center for Information Technology Policy.

Le recyclage des numéros de téléphone fait référence à la pratique courante consistant à réattribuer des numéros de téléphone déconnectés à d’autres nouveaux abonnés du transporteur. Selon la Federal Communications Commission (FCC), un environ 35 millions de numéros de téléphone sont déconnectés chaque année aux États-Unis

Mais cela peut également présenter de graves dangers lorsqu’un attaquant effectue une recherche inversée en entrant de manière aléatoire ces numéros dans les interfaces en ligne proposées par les deux transporteurs, et en rencontrant un numéro recyclé, achetez-le et connectez-vous avec succès au compte victime auquel le numéro est lié.

Au cœur de l’attaque, la stratégie est le manque de limites de requêtes pour les numéros disponibles imposées par les opérateurs sur leurs interfaces prépayées pour modifier les numéros, en plus d’afficher «des numéros complets, ce qui donne à un attaquant la possibilité de découvrir des numéros recyclés avant de confirmer un changement de numéro. “

De plus, 100 des numéros de téléphone échantillonnés ont été identifiés comme associés à des adresses e-mail qui avaient été impliquées dans une violation de données dans le passé, permettant ainsi des détournements de compte d’un deuxième type qui contournent l’authentification multifacteur par SMS. Lors d’une troisième attaque, 171 des 259 numéros disponibles ont été répertoriés sur des services de recherche de personnes comme BeenVerified et, ce faisant, ont divulgué des informations personnelles sensibles d’anciens propriétaires.

“Une fois qu’ils ont obtenu le numéro du propriétaire précédent, ils peuvent effectuer des attaques d’usurpation d’identité pour commettre une fraude ou accumuler encore plus de renseignements personnels sur les propriétaires précédents”, ont expliqué les chercheurs.

Au-delà des trois attaques de recherche inversée susmentionnées, cinq menaces supplémentaires activées par le recyclage des numéros de téléphone ciblent à la fois les propriétaires précédents et futurs, permettant à un acteur malveillant d’usurper l’identité d’anciens propriétaires, de détourner le compte de téléphone en ligne des victimes et d’autres comptes en ligne liés, et pire encore, de mener à bien attaques par déni de service.

“L’attaquant obtient un numéro, s’inscrit à un service en ligne qui nécessite un numéro de téléphone et libère le numéro”, ont déclaré les chercheurs. “Lorsqu’une victime obtient le numéro et tente de s’inscrire au même service, elle sera refusée en raison d’un compte existant. L’attaquant peut contacter la victime par SMS et exiger le paiement pour libérer le numéro sur la plate-forme.”

En réponse aux résultats, T-Mobile a déclaré avoir mis à jour son “Changer votre numéro de téléphone“page d’assistance contenant des informations sur la façon de rappeler aux utilisateurs de” mettre à jour votre numéro de contact sur tous les comptes susceptibles d’enregistrer votre numéro, tels que les notifications pour les comptes bancaires, les réseaux sociaux, etc. “et spécifiez le Période de vieillissement des nombres prescrite par la FCC de 45 jours pour permettre la réaffectation des anciens numéros.

Verizon, de même, a apporté des révisions similaires à son “Gérer le service mobile VerizonMais aucun des transporteurs ne semble avoir apporté de changements concrets rendant les attaques plus difficiles à réaliser.

Si quoi que ce soit, l’étude est une autre preuve de la raison pour laquelle l’authentification par SMS est une méthode risquée, car les attaques décrites ci-dessus pourraient permettre à un adversaire de détourner un compte compatible SMS 2FA sans avoir à connaître le mot de passe.

“Si vous devez abandonner votre numéro, dissociez-le d’abord des services en ligne”, Narayanan mentionné dans un tweet. «Pensez à des services de« parking »à faible coût. Utilisez des alternatives plus sûres au SMS-2FA, telles que les applications d’authentification.»



Leave a Reply