T-Mobile-Mitarbeitern im ganzen Land werden Bargeldangebote für illegale SIM-Swaps gemacht

 (tmo.report)
1 Punkte von GN⁺ 2024-04-16 | 1 Kommentare | Auf WhatsApp teilen

  • T-Mobile-Mitarbeiter erhalten Angebote, gegen Bargeld illegal SIM-Karten zu tauschen

    • Böswillige Akteure kontaktieren T-Mobile-Mitarbeiter und bieten 300 US-Dollar pro SIM-Swap
    • In dem Angebot wird dazu aufgefordert, sie über Telegram unter verschiedenen Vorwahlen zu kontaktieren; zudem wird behauptet, die Nummern aus dem T-Mobile-Mitarbeiterverzeichnis erhalten zu haben
    • Laut mehreren Beiträgen auf Reddit und Personen, die The Mobile Report Hinweise gegeben haben, sind T-Mobile-Mitarbeiter im ganzen Land betroffen

  • Fragen zum Weg des Abflusses persönlicher Daten von Mitarbeitern

    • Die größte Frage ist, wie die böswilligen Akteure an die Telefonnummern der Mitarbeiter gelangt sind
    • Unter den betroffenen Mitarbeitern sind auch ehemalige Beschäftigte, die seit Monaten nicht mehr für das Unternehmen arbeiten, weshalb die Informationen mehrere Monate alt sein könnten
    • Da offenbar Angestellte des Unternehmens enthalten sind, scheint es sich um eine andere Datenquelle als beim Connectivity-Source-Leak zu handeln
    • T-Mobile erklärte, es habe keinen Systemeinbruch gegeben, und man untersuche weiterhin die Nachrichten, die zu illegalen Handlungen anstiften

  • Auswirkungen auf Kunden und Präventionsmaßnahmen

    • Dass Kriminelle SIM-Swapping weiterhin als Einnahmequelle sehen, bedeutet, dass die Präventionsbemühungen der Unternehmen unzureichend sind
    • Da vielen Mitarbeitern solche Angebote gemacht wurden, besteht die Möglichkeit, dass einige sie annehmen, wodurch Kundenkonten und Gelder gefährdet sein könnten
    • Kunden können Vorsorgemaßnahmen ergreifen, etwa Zwei-Faktor-Authentifizierung app-basiert statt per SMS zu nutzen und im T-Mobile-Konto den SIM-Schutz zu aktivieren
    • Wenn eine Bank oder Krypto-Wallet nur SMS unterstützt, sollte ein Wechsel des Dienstes in Betracht gezogen werden

  • Hoffentlich kein neuer Leak bei einem Carrier, der wegen jüngster Datenlecks berüchtigt ist

    • Das beste Szenario wäre, dass die Auswirkungen vom Leak im September herrühren, möglich ist aber auch ein neuer Leak
    • The Mobile Report will den Beitrag weiter aktualisieren, sobald neue Informationen vorliegen

Meinung von GN⁺

  • SIM-Swapping ist kein neues Problem, aber organisierte Versuche, gezielt Mitarbeiter eines Carriers ins Visier zu nehmen, sind ungewöhnlich. Es scheint nötig, die Sicherheitsmaßnahmen von Carriern gegen Insider-Bedrohungen zu verstärken
  • Da die meisten Kunden der drei großen Carrier SMS für die Zwei-Faktor-Authentifizierung nutzen, ist das potenzielle Schadensausmaß groß. Neben mehr Aufklärung für Kunden sind technische Gegenmaßnahmen dringend erforderlich
  • T-Mobile hat durch die jüngsten häufigen Leaks von Kundendaten bereits an Vertrauen verloren, daher dürfte der Schaden durch diesen Vorfall erheblich sein. Eine gründliche Untersuchung und Maßnahmen zur Verhinderung einer Wiederholung sind notwendig
  • Beim Abflussweg der Mitarbeiterdaten kann eine Insider-Tat nicht ausgeschlossen werden. Besonders verdächtig ist, dass auch Daten ehemaliger Mitarbeiter enthalten sind, die das Unternehmen bereits verlassen haben
  • Es braucht über die Ebene einzelner Carrier hinaus eine gesetzliche Regulierung von SIM-Swapping und ein höheres Strafmaß. Gemessen am Schadensausmaß sind die Strafen zu gering und wirken als Tatmotiv

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-04-16
Meinungen auf Hacker News
  • Dass T-Mobile gefälschte SMS verschickt, um Mitarbeiter zu entlassen, ist unethisch und umstritten.
  • Nach dem jüngsten Datenleck bei T-Mobile ist eine neue Angriffsmethode aufgetaucht, bei der Kriminelle massenhaft an die Telefonnummern von Mitarbeitern gelangen, um SIM-Swapping zu veranlassen.
  • Um das Problem des SIM-Swappings zu lösen, müssten die Verfahren zur Identitätsprüfung von Kunden verschärft werden, doch in den USA ist das wegen des Fehlens eines allgemein verbreiteten Ausweissystems schwierig.
  • Es gibt ein grundlegendes Problem darin, dass Telefonnummern die Vertrauensbasis des digitalen Lebens bilden. Verbesserungen auf OS-Ebene wie Passkeys könnten helfen.
  • SMS-OTPs werden immer noch häufig verwendet, obwohl damit der Angriffsvektor nur durch einen noch schwächeren ersetzt wird.
  • Die FCC will ab Juli 2024 Regeln zur Verhinderung von SIM-Swapping in Kraft setzen, doch ob damit auch Insider-Angriffe verhindert werden können, ist unklar.
  • Es braucht eine rechtliche Definition und Standards für MFA. SMS sollte als 2SA eingestuft werden, und MFA sollte idealerweise auf hardwarebasierte Authentifizierung beschränkt sein.
  • Niedrige Löhne für Mitarbeiter im Kundenservice von Telekommunikationsanbietern, weitreichende Befugnisse und schwache Zugangskontrollen tragen zu Insider-Angriffen bei.
  • Auch wenn das SIM-Problem gelöst wird, werden Angreifer andere Schwachstellen ins Visier nehmen, daher ist eine fortlaufende Härtung der Sicherheit nötig.
  • Man könnte erwägen, einen Wechsel auf eine neue SIM nur dann zu erlauben, wenn die bisherige SIM offline ist und der Nutzer zugestimmt hat.