Una reciente violación de la cadena de suministro en Kroll, la firma de asesoría financiera y de riesgos, afectó a clientes intermedios y expuso información personal de cientos de demandantes en procedimientos de quiebra relacionados con las empresas de comercio de criptomonedas FTX, BlockFI y Genesis. El incidente es un claro recordatorio del peligro actual que representan para las organizaciones los ataques de intercambio de SIM, señalaron los investigadores, y la necesidad de alejarse de la autenticación de dos factores basada en SMS.
La infracción de Kroll se produjo cuando un adversario transfirió el número de teléfono de un empleado a un dispositivo controlado por un atacante y luego lo utilizó para acceder a información confidencial. El intercambio de SIM, o secuestro de SIM, es un tipo de ataque de apropiación de cuenta en el que un atacante obtiene acceso no autorizado a las funciones del teléfono móvil de un objetivo engañando al operador de telefonía móvil para que transfiera el número de teléfono de la víctima a una tarjeta SIM que controla el atacante.
Los ataques pueden adoptar muchas formas. Algunos grupos de amenazas, como “Scattered Spider”, con sede en China, han llevado a cabo ataques de intercambio de SIM a escala mediante irrumpir en sistemas pertenecientes a operadores de telefonía móvil y transferir números por su cuenta. En el caso de Kroll, el atacante convenció a T-Mobile para que transfiriera el número de teléfono de un empleado de Kroll a su propio dispositivo. Esto les dio una manera de acceder a los archivos que contenían los detalles de la quiebra; Kroll fue contratado para gestionar la presentación y conservación de las pruebas de reclamación en los procedimientos de las tres empresas de cifrado.
"Específicamente, T-Mobile, sin ninguna autorización ni contacto con Kroll o su empleado, transfirió el número de teléfono de ese empleado al teléfono del actor de la amenaza a petición suya". Kroll revelado la semana pasada, señalando que se enteró de la infracción el 19 de agosto.
T-Mobile no respondió de inmediato a una solicitud de comentarios de Dark Reading.
En una notificación a los clientes, FTX dijo que la infracción había expuesto los nombres., direcciones, correo electrónico y saldos en sus cuentas FTX. Génesis describió la brecha por tener un impacto similar y advirtió a las víctimas que estén atentas a los intentos de phishing diseñados para tomar el control de sus cuentas, billeteras y otros activos digitales en criptomonedas.
Orientación a la autenticación basada en SMS
El objetivo principal de los ataques de intercambio de SIM suele ser obtener el control de los mensajes de texto entrantes de la víctima para interceptar los códigos de autenticación de dos factores enviados por SMS. Luego los utilizan para acceder al banco de la víctima y a otras cuentas. En muchos casos, los grupos de amenazas también han utilizado dispositivos con SIM intercambiada para campañas de phishing.
"Los ataques de intercambio de SIM se utilizan para anular la autenticación multifactor basada en SMS, lo que comúnmente conduce a apropiaciones de cuentas y allana el camino para filtraciones de datos y ataques cibernéticos", afirma Zach Capers, analista senior de seguridad de Capterra. “Este es un problema real porque La investigación de Capterra encuentra que el 42% de las empresas utilizan SMS para la autenticación multifactor”, afirma.
Mitigar los riesgos del intercambio de SIM
Capers dice que el intercambio de SIM generalmente comienza con ingeniería social, a menudo a través de correos electrónicos de phishing e investigación de antecedentes de la víctima utilizando las redes sociales, las páginas del personal de la empresa u otras fuentes.
“El atacante utiliza esta información para hacerse pasar por la víctima, eludir la seguridad de la cuenta del operador de telefonía móvil y convencerla de que transfiera el número de teléfono a un nuevo dispositivo. Una vez transferido, el atacante intercepta los códigos de autenticación y obtiene acceso a cualquier cosa mediante autenticación basada en SMS, desde información empresarial confidencial hasta cuentas financieras”, afirma. Los ataques de intercambio de SIM son una buena razón por la que las empresas deben considerar alternativas (como la biometría y las claves de autenticación física) a la autenticación basada en SMS, dijo Capers.
Las personas pueden minimizar parte del riesgo al no publicar datos personales en plataformas de redes sociales y otros foros en línea, añade Georgia Weidman, arquitecta de seguridad de Zimperium. Los atacantes a menudo se hacen pasar por objetivos utilizando información como los nombres de familiares, direcciones físicas y direcciones de correo electrónico cuando intentan convencer a un operador telefónico para que transfiera un número de teléfono a una nueva tarjeta SIM, dice Weidman.
"Las empresas también pueden alertar a los empleados sobre el peligro que representa el intercambio de SIM", señala, "y recomendar congelar el puerto de su cuenta móvil".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/kroll-cryoto-breach-sim-swapping-risk
