2FA

Nomor telepon bau untuk keamanan dan otentikasi. Mereka bau karena kebanyakan dari kita telah berinvestasi dalam angka-angka ini sehingga mereka menjadi identitas de facto. Pada saat yang sama, ketika Anda kehilangan kendali atas nomor telepon — mungkin itu dibajak oleh penipu, Anda berpisah atau bercerai, atau Anda terlambat membayar tagihan telepon Anda siapa pun yang mewarisi nomor itu dapat menjadi Anda di banyak tempat online.

Nixon mengatakan sebagian besar perspektifnya tentang identitas seluler diwarnai oleh lensa pekerjaannya, yang membuatnya mengidentifikasi beberapa penjahat terbesar yang terlibat dalam pembajakan nomor telepon melalui serangan pertukaran SIM. Pertukaran SIM ilegal memungkinkan penipu untuk membajak nomor telepon target dan menggunakannya untuk mencuri data keuangan, kata sandi, cryptocurrency, dan barang berharga lainnya dari korban.

Nixon mengatakan banyak perusahaan pada dasarnya telah membangun otentikasi pelanggan mereka di sekitar nomor telepon, dan bahwa banyak situs masih membiarkan pengguna mengatur ulang kata sandi mereka dengan tidak lebih dari kode satu kali yang dikirim ke nomor telepon di akun. Dalam serangan ini, penipu tidak perlu mengetahui kata sandi korban untuk membajak akun: Dia hanya perlu memiliki akses ke nomor ponsel target.

Di luar serangan pertukaran SIM, ada beberapa cara agar nomor telepon dapat ditransfer ke pemilik baru, kata Nixon. Alasan terbesar adalah kurangnya pembayaran untuk tagihan telepon masa lalu. Tetapi mungkin seseorang mengalami perceraian atau perpisahan yang tidak menyenangkan, dan tidak dapat lagi mengakses telepon atau akun telepon mereka. Akun dikirim ke koleksi dan ditutup, dan nomor telepon dilepaskan kembali ke kumpulan umum untuk penugasan kembali setelah jangka waktu tertentu.

Brian Krebs (BK): Anda punya pengalaman sendiri seperti ini. Atau semacam. Anda memberitahu.

Allison Nixon (AN): Setiap perusahaan intelijen ancaman akan memiliki beberapa jenis fungsi bisnis yang memerlukan pembelian ponsel burner cukup sering, yang melibatkan mendapatkan nomor telepon baru. Saat Anda mendapatkan nomor baru, nomor tersebut didaur ulang dari pemilik sebelumnya karena mungkin tidak ada nomor baru lagi. Saya mendapatkan banyak berbagai pesan teks untuk pengaturan ulang kata sandi. Yang terus saya terima adalah SMS dari bank orang ini. Setiap kali dia mendapat setoran, saya akan mendapatkan SMS yang mengatakan berapa banyak yang disetorkan dan beberapa informasi dasar tentang akun tersebut.

Saya mendekati bank karena saya khawatir bahwa mungkin orang acak ini akan terancam oleh penelitian keamanan yang akan kami lakukan dengan nomor baru ini. Saya meminta mereka untuk menghapus nomornya, tetapi mereka mengatakan tidak ada yang bisa mereka lakukan untuk itu.

Suatu kali saya tidak sengaja membajak akun orang secara acak. Saya mencoba untuk mendapatkan kembali akun saya sendiri di penyedia layanan online, dan saya memasukkan nomor telepon burner ke situs, melalui proses reset kata sandi SMS, mendapatkan tautan dan dikatakan ‘Selamat Datang Kembali’ untuk beberapa nama pengguna yang saya tidak’ tidak tahu. Kemudian saya mengklik oke dan tiba-tiba membaca pesan pribadi akun tersebut.

Saya menyadari bahwa saya telah membajak akun pemilik telepon sebelumnya. Itu tidak disengaja, tetapi juga sangat jelas bahwa tidak ada alasan teknis saya tidak dapat membajak lebih banyak akun yang terkait dengan nomor ini. Ini adalah masalah yang mempengaruhi banyak penyedia layanan. Ini bisa saja terjadi di banyak, banyak situs web lain.

BK: Kami tidak selalu terikat dengan nomor telepon kami, kan? Apa yang terjadi?

AN: Seluruh konsep nomor telepon sudah ada sejak seratus tahun yang lalu. Operator akan memasukkan nomor yang Anda tahu terkait dengan teman Anda dan Anda dapat menelepon orang itu dan berbicara dengan mereka. Saat itu, telepon tidak mengikat identitas seseorang, dan kepemilikan nomor telepon itu tidak pernah membuktikan identitas orang itu.

Tetapi hari ini, nomor telepon terikat dengan identitas orang, meskipun kami mendaur ulangnya dan daur ulang ini adalah bagian mendasar dari cara kerja sistem telepon. Terlepas dari kenyataan bahwa daur ulang nomor telepon selalu ada, kami masih memiliki semua perusahaan Internet yang telah memutuskan mereka akan menerima nomor telepon sebagai dokumen identitas dan itu mengerikan.

BK: Bagaimana nomor telepon dibandingkan dengan dokumen identitas fisik yang lebih tradisional?

AN: Ambil konsep tradisional dokumen identitas — di mana Anda harus secara fisik menunjukkan dan menunjukkan ID di beberapa jenis bisnis atau kantor, dan kemudian dari sana mereka akan mencari akun Anda dan Anda dapat melakukan transaksi. Online, ini benar-benar berbeda dan Anda tidak dapat secara fisik menunjukkan ID Anda dan tidak dapat menunjukkan wajah Anda.

Dalam ekosistem Internet, ada berbagai perusahaan dan layanan yang menjual barang secara online yang telah menetapkan berbagai faktor yang dianggap sebagai proxy yang cukup baik untuk dokumen identitas. Anda memberikan nama pengguna, kata sandi, dan terkadang Anda memberikan alamat email atau nomor telepon Anda. Sering kali ketika Anda mengatur akun Anda, Anda memiliki semacam cara yang disepakati untuk membuktikannya dari waktu ke waktu. Berdasarkan protokol yang telah ditetapkan sebelumnya, pengguna dapat masuk dan melakukan transaksi.

Ini bukan sistem yang baik dan cara semuanya bekerja hanya memungkinkan penipuan. Saat Anda terhambat untuk muncul secara fisik di suatu tempat, hanya ada begitu banyak penipuan yang dapat Anda lakukan. Banyak serangan terhadap perusahaan telepon tidak menyerang nilai yang melekat pada nomor telepon, tetapi penggunaannya sebagai dokumen identitas.

BK: Anda mengatakan daur ulang nomor telepon adalah bagian mendasar dari cara kerja sistem telepon. Bicara lebih banyak tentang itu, betapa umum itu.

AN: Anda bisa saja bercerai, atau tiba-tiba jatuh miskin setelah kehilangan pekerjaan. Tetapi nomor itu dapat diberikan, dan jika itu diberikan kepada orang lain, Anda tidak akan mendapatkannya kembali. Ada semua jenis situasi kehidupan di mana nomor telepon bukan pengidentifikasi yang baik.

Mungkin sebagian alasan mengapa seluruh masalah daur ulang nomor telepon tidak mendapat banyak perhatian adalah orang-orang yang tidak dapat membayar tagihan mereka mungkin tidak memiliki banyak uang untuk dicuri, tetapi cukup mengerikan bahwa situasi ini dapat disalahgunakan untuk menendang orang ketika mereka jatuh. Saya tidak berpikir banyak uang dapat dicuri dengan cara ini, tetapi saya pikir fakta bahwa ini benar-benar terjadi dapat merusak keseluruhan sistem.

BK: Menurut saya itu akan menjadi hal yang baik jika lebih banyak pedagang online memudahkan untuk masuk ke situs mereka tanpa menggunakan kata sandi, tetapi dengan aplikasi yang hanya bertanya, apakah Anda baru saja mencoba masuk? Ya? Oke. Boom, Anda sudah login. Sepertinya login “push” semacam ini dapat memanfaatkan ponsel pintar pengguna tanpa mengandalkan nomor — atau kata sandi, dalam hal ini.

Jika nomor telepon buruk, apa yang harus kita lihat sebagai pengenal yang lebih andal dan tangguh?

AN: Itu adalah sesuatu yang banyak saya pikirkan akhir-akhir ini. Sepertinya semua opsi lain buruk atau sangat kontroversial. Di satu sisi, saya ingin bank saya tahu siapa saya, dan saya ingin mengungkapkan email dan nomor telepon saya kepada mereka sehingga mereka dapat memverifikasi itu saya dan tahu bagaimana menghubungi saya jika diperlukan. Tetapi jika saya menyiapkan akun email, saya tidak ingin harus memberikan semua informasi saya kepada mereka. Saya tidak terikat pada satu ide alternatif, saya hanya tidak menyukai apa yang kita lakukan sekarang.

Sumber : Krebson Security