ABD genelindeki T-Mobile çalışanlarına yasa dışı SIM swapping karşılığında nakit teklif edildi
(tmo.report)- ABD genelindeki T-Mobile çalışanları, müşteri hatlarını saldırganların elindeki SIM’lere taşıma karşılığında yasa dışı SIM swapping teklifleri içeren SMS’ler aldı
- Teklif mesajları işlem başına 300 dolar ve Telegram üzerinden iletişim öneriyor; engellemeyi zorlaştırmak için farklı alan kodlarından gönderici numaraları kullanılıyor
- Mesajlarda çalışan numaralarının “T-Mo employee directory”den alındığı ifadesi yer alıyor; yalnızca mevcut çalışanlar değil, birkaç ay önce ayrılmış eski çalışanlar da hedef alınıyor
- T-Mobile, sistem ihlali olmadığını söylese de yasa dışı eyleme teşvik eden mesajları araştırıyor; benzer vakalar diğer kablosuz operatörlerde de bildirildi
- Müşterilerin hesap ele geçirme riskini azaltmak için SMS tabanlı iki aşamalı doğrulamaya bağımlılığı azaltması, doğrulama uygulamaları kullanması ve SIM protection özelliğini açması gerekiyor
Çalışanlara doğrudan gelen SIM swapping teklifleri
- SIM swapping, saldırganın kurbanın telefon hattını kendi elindeki SIM’e taşıyarak kurbana gönderilen iki aşamalı doğrulama kodlarını ele geçirmesi ve çevrimiçi hesaplara erişmesi yöntemidir
- Kurbanlar banka hesaplarından veya kripto para cüzdanlarından para kaybedebilir
- Çeşitli Reddit gönderileri ve ayrı ihbarlara göre, ABD genelindeki T-Mobile çalışanları SIM swapping karşılığında nakit teklif eden SMS’ler aldı
- Teklif mesajları SIM swapping başına 300 dolar öneriyor ve Telegram üzerinden iletişime geçilmesini istiyor
- Gönderici numarası farklı alan kodlarına sahip çeşitli numaralar arasında değiştiği için, yalnızca numara engelleyerek önlemek zorlaşıyor
Çalışan iletişim bilgilerinin kaynağı ve ihlal olup olmadığı
- Mesajlarda çalışan telefon numaralarının “T-Mo employee directory”den alındığı ifadesi bulunuyor
- Bu doğruysa, iletişim bilgilerinin yer aldığı T-Mobile çalışan dizinine bir şekilde erişilmiş olma ihtimali var
- Birkaç ay önce ayrılan eski çalışanlar da hedef alındığı için, saldırganın verilere şu anda gerçek zamanlı erişiyor olma ihtimali düşük görülüyor
- Çalışan numaralarının nereden geldiği kesinleşmiş değil
- Çevrimiçi yorumlara göre bazı üçüncü taraf çalışanların etkilendiği anlaşılıyor
- Mevcut T-Mobile corporate çalışanlarının da mesaj aldığı ayrıca doğrulandı
- Bunun, Eylül 2023’te Connectivity Source ile ilgili sızdırılan verilerle aynı kaynaktan geldiğini kesin olarak söylemek zor
- Ancak bu ihtimal dışlanamıyor
- T-Mobile PR, “sistem ihlali olmadığını” belirtti
- Yasa dışı eyleme teşvik etmek için gönderilen mesajlar araştırılmaya devam ediyor
- Diğer kablosuz operatörler de benzer mesajlar bildirdi
Müşterilerin azaltabileceği riskler
- Suçluların SIM swapping’i hâlâ para kazandıran bir saldırı yöntemi olarak görmesi müşteriler için endişe kaynağı olmaya devam ediyor
- Bazı çalışanlar hızlı nakit teklifini kabul ederse, müşteri hesapları ve fonları doğrudan risk altına girebilir
- Müşterilerin alabileceği önlemler:
- Çevrimiçi servislerde iki aşamalı doğrulamayı SMS tabanlı bırakmamak
- Google Authenticator veya Authy gibi doğrulama uygulamaları kullanmak
- Banka veya kripto para cüzdanı hizmeti iki aşamalı doğrulama için yalnızca SMS sunuyorsa başka bir hizmete geçmeyi değerlendirmek
- T-Mobile hesabında SIM protection özelliğini etkinleştirmek
1 yorum
Hacker News görüşleri
T-Mobile, çalışanlara ödül miktarını 600 dolara çıkarmış gibi görünen şirket içi bir SMS gönderip buna yanıt veren çalışanları işten çıkaramaz mı?
Ya da çalışan hatları için indirim şartlarını değiştirip, şirket kullanıcılarına yönelik güvenlik tehditlerini tespit etmek amacıyla SMS içeriğini veya meta verileri izleyebilecek hale getirebilir gibi görünüyor
SIM swap karşılığı ödeme teklif ediyormuş gibi davranmanın yasal olup olmadığını bilmiyorum ama bu ikincil mesele; asıl sorun, T-Mobile'ın geçmişte bu tür şeyleri gerçekten umursadığına dair pek kanıt görmemiş olmamız
İçeriden birinin dahil olduğu SIM swap saldırısı yeni bir şey değil. Yakın bir arkadaşımın T-Mobile hattı da Mart 2020'de bu şekilde ele geçirilmişti
Bu haberde asıl önemli nokta, veri sızıntısıyla SIM swap'in birleşmiş olması. Suçlular, son T-Mobile sızıntısında yer alan çalışan telefon numaralarını kullanarak aynı anda çok sayıda çalışana SMS gönderip işlem başına 300 dolar teklif ediyor
Eskiden ya kişisel bağlantılarla içeriden birini bulmaları ya da doğrudan işe girip içeriden olmaları gerekiyordu; ama sızdırılmış veri sayesinde artık bunu otomatikleştirip ölçeklendirebiliyorlar
Yani “eski yöntem”, sadece içeriden birini devşirmeyi değil, aynı zamanda içeriden kişinin müşteriye güvenebilmesini sağlamayı da içeriyordu
Buradaki çözüm ne olabilir? Fiziksel mağaza çalışanlarının müşterinin telefon numarasını yeni bir SIM'e taşımasını engellemek gerçekçi mi? Müşteri telefonunun kaybolduğunu ya da çalındığını söylerse ne yapılacak?
İdeal olarak müşterinin gerçekten orada bulunduğuna ve kimliğinin doğrulandığına dair bir kontrol olmalı; ama ABD'de herkesin kullandığı evrensel bir kimlik sistemi yok, bu yüzden bunun nasıl yapılacağını bilmiyorum. Ayrıca insanların kimlik göstermeden de telefon numarası alabilmesi gerektiğini düşünüyorum; o durumda doğrulama baştan tıkanıyor
Sorun şu ki cep telefonu fiilen dijital hayatımızın güven kökü haline geldi. Passkey'lerin işletim sistemine yerleşmesi iyi, çünkü bu baskıyı operatörlerden alıyor; ama temel sorun ortada duruyor. Güveni ilk kez tesis etmek zor bir iş
“Müşteri gerçekten orada ve kimliği doğrulandı” derken orası tam olarak neresi? Benim MVNO'mun şubesi yok. Şubesi olsa bile neden oraya gitmek zorunda olayım? Banka şubelerine de mümkünse gitmiyorum
SMS, iki adımlı doğrulama için belki kabul edilebilir ama her zaman ikinci unsur olmalı. “Parolamı unuttum” → SMS kodu → yeni parola, aslında tek faktörlü kimlik doğrulamadır. SMS'i tek unsur olarak kullanmak gerçekten kötü
Böylece yozlaşmış bir çalışanın SIM değişikliğini yapabilmesi için elinde olmayan ek bilgiye de ihtiyacı olur
SIM'in ancak mobil ağdan 48 saat boyunca kopuk kaldıktan sonra değiştirilebilmesini sağlarsınız; kopuk değilse mevcut SIM'e çağrı veya SMS gönderip değişikliği gerçekten isteyip istemediğini doğrularsınız
Kripto para sektöründe çalışıyorum ve SIM swap'i sürekli görüyorum. Genelde ünlü kişilerin Twitter hesaplarını ele geçirmek için kullanılıyor, ardından phishing linkleri paylaşılıp takipçilerin coin'leri çalınıyor. Bu alanda T-Mobile adı açık ara en çok geçiyor ve kurbanların çoğunun T-Mobile kullanmış olması bunun uzun zamandır sürdüğünü gösteriyor
Twitter güvenliğindeki bir diğer büyük sorun da, SMS dışı iki adımlı doğrulama kullansanız bile hesabın ele geçirilebilmesi. Hesapta telefon numarası varsa kurtarma yöntemi olarak kullanılıyor ve iki adımlı doğrulamayı tamamen baypas ediyor. Bu güvenlik açığı yıllardır var ama hâlâ düzeltilmedi
Telefon numarası vermemeye izin veren ya da en azından onu kurtarma yöntemi olarak kullanmayan siteler son derece az
Basit bir zaman kilidi bile çok yardımcı olurdu. Örneğin SMS tek kullanımlık parola tabanlı “2” adımlı doğrulama kurtarması ancak 24 saat sonra mümkün olur; aynı anda “siz olmayabilecek biri hesabı kurtarmaya çalışıyor” şeklinde toplu uyarılar gönderilir ve gerçek hesap sahibine bunu durdurmanın bir yolu sunulur
Bunun SMS dışı iki adımlı doğrulama kullanılırken de mümkün olması daha da kötü; alternatif iki adımlı doğrulama kullanmanın amacını %100 boşa çıkarıyor
SMS tek kullanımlık şifrelerin bu kadar sık kullanılıyor olmasına inanmak zor. Bu herkesçe bilinen bir gerçek ve sadece mevcut saldırı yolunu daha kötü bir saldırı yoluyla değiştiriyor
Parolayı kırmak ya da şifrelenmiş bir veritabanına sızmak, SIM swap’i başarıyla gerçekleştirmekten 10 kat daha zor
Süre sınırlı 2 aşamalı kodlar SIM swap veya hedefli phishing ile aşılabilir, ama geniş çaplı spam tabanlı phishing kampanyalarına göre daha nadirdir
Bu, SMS 2 aşamalı doğrulamayı sevdiğim anlamına gelmiyor; gerçekten nefret ediyorum
Şimdi bir de WebAuthn ekleseler harika olur. Yine de tarayıcıya entegre parola yöneticisiyle birlikte kullanılan TOTP, phishing’e karşı epey güvenli; çünkü otomatik doldurma çıkmazsa şüphelenebilirsiniz
SIM swap çok az sayıda insanın başına geldiği için, ilgili tarafların gözünde bunun için çaba harcamaya değmiyor. Ben de sevmiyorum ama gerçek böyle
Günümüzde yalnızca kullanıcı adı ve parola temelli her şeyin passkey ile değiştirilmesi gerekiyor. Passkey’lerin çözemediği sorunlar ise 2 aşamalı doğrulama ve hesap kurtarma
Parola + SMS tek kullanımlık şifre, SMS yöntemi ne kadar kötü olursa olsun, tek başına paroladan yine de daha iyidir
FCC, SIM swap’i önlemeye yönelik yeni kuralları yürürlüğe koyuyor gibi görünüyor ve bunların 8 Temmuz 2024 itibarıyla geçerli olduğu söyleniyor. Ancak sadece basın bültenine bakınca, telekom çalışanının kötü niyetli aktör olduğu durumlarda müşteriyi koruyup koruyamayacağı net değil
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
Şaka değil, değişiklik sırasında DNA örneği isteyen bir mobil operatör için bence piyasada yer olurdu
DNA; kan, tükürük, rastgele seçilen tırnak gibi çeşitli kaynaklardan aynı anda alınabilir ve sağlayıcının DNA dizisini kendisini saklamaması için hash uygulanabilir. DNA’nın kendisi UUID gibi bir şey değil, dolayısıyla biraz yenilik gerekir ama mümkün olduğunu düşünüyorum. VIP’ler bu hizmete para verir ve hack zararlarına karşı sınırlı sigorta da sunulabilir
Ek olarak, “Forensic Files”ın bir bölümünde cinsel saldırı suçlamasına ilişkin DNA testinden kaçmak için başka birinin kan örneğini kendi vücuduna enjekte eden bir şüpheli vardı. Yani DNA yönteminin de saldırıya açık olduğunu kabul ediyorum. Bu yüzden birden çok rastgele örnek gerekli
Çok faktörlü kimlik doğrulama için gerçekten daha iyi standartlara ihtiyacımız var. Muhtemelen çok faktörlü kimlik doğrulamanın yasal bir tanımı yapılmalı ve SMS, e-postayla aynı seviyede bir 2 aşamalı doğrulama olarak sınıflandırılmalı
Gerçek çok faktörlü kimlik doğrulamanın Yubikey ya da başka donanım sertifikası tabanlı cihazlarla sınırlı olması gerektiğini düşünüyorum. Ayrıca, yöntem başına yalnızca tek token destekleniyorsa bunun çok faktörlü kimlik doğrulama diye pazarlanmasına da izin verilmemeli
Gerçekçi olarak üst sınır iPhone Keychain gibi görünüyor ve o da bir ölçüde donanım güvenliğine dayanıyor
https://passkeys.dev/
https://passkeys.directory/
Bu sadece SIM ya da T-Mobile’a özgü bir sorun değil
Müşteri hizmetleri temsilcilerinin çoğu çok düşük ücret alıyor ve özellikle başka ülkelerde, Batı standartlarına göre az bir para karşılığında belli işlemleri yapacak birini bulmak zor değil. Müşteri hizmetleri temsilcileri çoğu zaman güçlü yetkilere ve hassas bilgilere erişime sahip oluyor, erişim kontrolleri de gevşek oluyor
SMS ve çok faktörlü kimlik doğrulama sorununu çözseniz bile saldırganlar bir sonraki en zayıf noktaya yönelecektir
Bildiğim kadarıyla SMS 2 aşamalı doğrulama, tüm yöntemler içinde en kolay aşılanı. En azından e-postada önce parola gerekir ve bazı durumlarda ayrıca ayrı bir 2 aşamalı doğrulamayı da geçmek gerekir
Basit görünen bir fikir ortaya atayım: hesaba bağlı hattın, mevcut SIM baz istasyonu ağı açısından offline durumdayken ancak yeni bir SIM’e taşınabilmesini sağlayan isteğe bağlı bir seçenek olması
Müşteri hizmetlerinin bu kısıtı aşamaması da sağlanabilir
Biri telefonunuzu çalarsa etkinleştirme kilidini atlatmak için muhtemelen mümkün olan en kısa sürede uçak moduna alacaktır. Denize düşürdüyseniz ya da uçurumdan aşağı yuvarlandıysa uzun süre çalışmama ihtimali yüksek. Kaybettiniz ama hâlâ açık ve bulamıyorsanız bundan endişe ediyorsanız bu seçeneği açmazsınız
Yanıt gelmezse 48 saat sonra taşınır, “evet” denirse hemen taşınır. “hayır” denirse taşımayı talep eden kişinin birkaç soruyu yanıtlaması gerekir
Örneğin telefonu kaybettiyseniz ve yol kenarında bir yerde olabileceği için yanıt veremiyorsanız, onay isteğine yanıt gelmezse hat yaklaşık 8 saat sonra taşınır