Unternehmen mit SMS-Verifizierung beim Login geraten wegen SIM-Swapping-Angriffen in die Verantwortung

 (keydiscussions.com)
1 Punkte von GN⁺ 2024-02-07 | 1 Kommentare | Auf WhatsApp teilen

Verantwortung von Unternehmen, die SMS-basierten Account-Login eingeführt haben

  • Der Grund, warum SIM-Swapping-Angriffe weiterhin vorkommen, liegt darin, dass viele Unternehmen wie Apple, Dropbox, PayPal, Block und Google die schlechte Idee übernommen haben, SMS für Passwort-Resets und den Account-Login zu verwenden.
  • Bei einem SIM-Swapping-Angriff veranlasst ein Krimineller den Mobilfunkanbieter dazu, die Telefonnummer des Opfers auf sein eigenes Telefon zu übertragen. Dadurch kann er per SMS Login-Informationen für Konten erhalten und Geld sowie sensible Daten stehlen.
  • Die Verhinderung von SIM-Swapping-Angriffen ist einfach: Unternehmen sollten Login oder Passwort-Resets per SMS nicht zulassen, und selbst wenn sie SMS-2FA anbieten, sollten sie sicherere Optionen wie Authy oder Google Authenticator bereitstellen.

Probleme der SMS-basierten Authentifizierung

  • Authentifizierung per SMS wird zwar als allgemeine Methode zum Schutz von Kundinnen und Kunden angeboten, ist aber trotz ihres Komforts im Vergleich zu sichereren Verfahren wie Authentifizierung per E-Mail sicherheitstechnisch schwach.
  • Eine SMS an Kundinnen und Kunden zu senden, ist wie das Verschicken einer unverschlüsselten Postkarte; wie bei einem SIM-Swapping-Angriff kann jeder den Briefkasten öffnen und die Nachricht abfangen.
  • SMS ist nicht die beste Option für Passwort-Resets, und die Nutzung von Authy oder E-Mail ist die bessere 2FA-Option.

Die negativen Seiten der Technologieeinführung

  • Apple, Google und andere haben die Rolle von SMS gestärkt, indem sie Funktionen eingeführt haben, die Passwort-Resets und Account-Login per SMS unterstützen.
  • Cloud-Anbieter profitieren von der Bereitstellung von SMS-Codes und verkaufen damit eine grundsätzlich fehlerhafte Technologie als sichere Lösung.
  • Auch Finanzdienstleister wie Wells Fargo, Cash App, Robinhood, Schwab, PayPal und Bank of America bieten SMS-Reset-/Account-Login-Funktionen an.

Missverständnisse auf Kundenseite

  • Kundinnen und Kunden verstehen den mangelhaften Charakter von SMS-Resets nicht und bevorzugen den Komfort gegenüber Login-Codes per E-Mail oder über 2FA-Apps wie Authy.
  • Technologieunternehmen haben es versäumt, ihre Kundschaft zu schützen, und es bleibt zu hoffen, dass sich die Lage durch Klagen und Gesetzgebung ändert.

Meinung von GN⁺

  • SMS-basierte Authentifizierung ist trotz ihres Komforts mit Sicherheitslücken behaftet, daher sollten Unternehmen auf sicherere Authentifizierungsmethoden umsteigen.
  • SIM-Swapping-Angriffe treten weiter auf, obwohl sie vermeidbar wären, was auf die falsche Technologieentscheidung der Unternehmen zurückzuführen ist.
  • Dieser Artikel vermittelt die wichtige Botschaft, dass Technologieunternehmen die Sicherheit ihrer Kundschaft priorisieren, SMS-basierte Authentifizierungssysteme abschaffen und sicherere Authentifizierungsmethoden einführen sollten, und bietet damit Nutzerinnen, Nutzern und Branchenfachleuten wertvolle Einblicke.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-02-07
Hacker-News-Kommentare

  • Beschwerden über die Unbequemlichkeit von SMS-Bestätigungscodes

    • Früher hat 1Password TOTP-Codes automatisch ausgefüllt, jetzt muss man wegen der SMS-Verifizierung entweder für internationales Roaming zahlen oder SMS-Weiterleitung einrichten.
    • Statt jeder Firma die Telefonnummer zu geben, sollte man eine Authenticator-App mit SMS koppeln können.
    • Eine Telefonnummer mit einem Konto zu verknüpfen ist aus folgenden Gründen schlecht: Verlust/Diebstahl des Telefons, Umzug in ein anderes Land, SMS-Angriffe, Wiederverwendung von Telefonnummern, Notwendigkeit, einen kostenpflichtigen Mobilfunktarif aufrechtzuerhalten.

  • Erfahrungsbericht zu Payoneers SMS-Problem

    • Es gab ein Problem mit der SMS-Verifizierung von Payoneer für Movistar-Nutzer in Argentinien, das auf Hacker News jedoch keine Aufmerksamkeit bekam.
    • Angreifer hackten das SMS-Gateway, das 2FA an Movistar-Kunden sendete, fanden so die E-Mail-Adressen von Payoneer-Nutzern heraus, änderten deren Passwörter und überwiesen Geld.
    • Auch Facebook, Twitter und andere nutzen zur Kostensenkung dasselbe SMS-Gateway, daher ist Vorsicht geboten.

  • Login-Probleme beim Verlust der Telefonnummer

    • Wer seine Telefonnummer verliert, hat das Problem, sich nicht mehr in sein Google-Konto einloggen zu können.

  • Vergleich der Unbequemlichkeit von SMS-Verifizierung mit der Bequemlichkeit von TOTP

    • Bei SMS-Verifizierung muss man erst das Telefon suchen, während TOTP praktischer ist, weil die Codes in KeePassXC gespeichert werden können.

  • Zustimmung zur User Experience (UX) von SMS-Verifizierung

    • SMS-Login und Kontowiederherstellung bieten eine gute User Experience, und die Mobilfunkanbieter sollten ihre Sicherheit verbessern.

  • Beschwerden über Einschränkungen bei der Nutzung von Google-Voice-Nummern

    • Einige Unternehmen behaupten, Google-Voice-Nummern könnten nicht zur Verifizierung verwendet werden, oder behandeln sie als ungültige Telefonnummern.

  • Notwendigkeit von SMS-Verifizierung und die Rolle der Mobilfunkanbieter

    • Von normalen Nutzern die Installation einer App zu verlangen, ist eine große Hürde, und SMS ist für sie die einzige praktikable Lösung.
    • SIM-Swapping müsse erschwert werden.

  • Zweck von SMS-Verifizierung und Sicht der Unternehmen

    • SMS-Verifizierung ist für zwei Zwecke wirksam: den Nachweis des Kontobesitzes und die Begrenzung der Kontoerstellung durch unrechtmäßige Nutzer.
    • Unternehmen bieten nicht die beste Sicherheitslösung, sondern lagern dies aus, indem sie den KYC-(Know Your Customer)-Prozess an Mobilfunkanbieter delegieren.

  • Kritik an SMS-Verifizierung und die Frage der Verantwortungsverschiebung auf Kriminelle

    • Kritiker geben Unternehmen die Schuld, die SMS-Verifizierung einsetzen, tatsächlich sollten jedoch die Kriminellen verantwortlich gemacht werden.
    • Für SIM-Swapping-Angriffe tragen die Kriminellen die Verantwortung.