1 पॉइंट द्वारा GN⁺ 2024-04-16 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिका भर में T-Mobile कर्मचारियों को ऐसे अवैध SIM स्वैपिंग अनुरोध वाले टेक्स्ट मिले, जिनमें ग्राहक की लाइन को हमलावर के पास मौजूद SIM पर ट्रांसफर करने को कहा गया
  • इन संदेशों में प्रति केस 300 डॉलर और Telegram पर संपर्क का प्रस्ताव दिया गया, साथ ही अलग-अलग एरिया कोड वाले नंबर इस्तेमाल किए गए ताकि ब्लॉक करना मुश्किल हो
  • टेक्स्ट में यह भी लिखा था कि कर्मचारियों के नंबर “T-Mo employee directory” से मिले हैं, और निशाने पर सिर्फ मौजूदा कर्मचारी ही नहीं बल्कि कुछ महीने पहले नौकरी छोड़ चुके पूर्व कर्मचारी भी शामिल थे
  • T-Mobile ने कहा कि सिस्टम में कोई breach नहीं हुआ, लेकिन गैरकानूनी काम के लिए उकसाने वाले इन संदेशों की जांच जारी है, और अन्य wireless carriers में भी ऐसे मामले रिपोर्ट हुए हैं
  • ग्राहकों को SMS-आधारित 2FA पर निर्भरता कम करनी चाहिए और authenticator app के साथ SIM protection चालू करके account takeover का जोखिम घटाना चाहिए

कर्मचारियों को सीधे भेजे गए SIM स्वैपिंग प्रस्ताव

  • SIM स्वैपिंग में हमलावर पीड़ित की फोन लाइन को अपने SIM पर ट्रांसफर करा लेता है, जिससे पीड़ित को भेजे गए 2FA कोड इंटरसेप्ट कर ऑनलाइन अकाउंट्स तक पहुंच बनाई जा सके
  • इससे पीड़ित अपने बैंक अकाउंट या cryptocurrency wallet से पैसे गंवा सकता है
  • कई Reddit पोस्ट और अलग-अलग रिपोर्टों के अनुसार, अमेरिका भर में T-Mobile कर्मचारियों को SIM स्वैपिंग के बदले नकद ऑफर वाले संदेश मिले
  • इन संदेशों में हर SIM स्वैप के लिए 300 डॉलर देने और Telegram पर संपर्क करने को कहा गया
  • भेजने वाले नंबर अलग-अलग एरिया कोड के कई नंबरों में बदलते रहे, इसलिए सिर्फ नंबर ब्लॉक करना काफी नहीं था

कर्मचारी संपर्क जानकारी का स्रोत और breach की स्थिति

  • टेक्स्ट में कहा गया था कि कर्मचारियों के फोन नंबर “T-Mo employee directory” से लिए गए हैं
    • अगर यह सच है, तो संभव है कि किसी तरह T-Mobile की उस कर्मचारी डायरेक्टरी तक पहुंच मिली हो जिसमें संपर्क जानकारी शामिल है
    • कुछ महीने पहले नौकरी छोड़ चुके पूर्व कर्मचारी भी निशाने पर थे, इसलिए यह संभावना कम लगती है कि हमलावर अभी रियल-टाइम में डेटा एक्सेस कर रहा हो
  • कर्मचारियों के नंबर कहां से आए, यह अभी तय नहीं है
    • ऑनलाइन टिप्पणियों के आधार पर, कुछ third-party कर्मचारी भी प्रभावित दिखते हैं
    • यह भी अलग से पुष्टि हुई कि मौजूदा T-Mobile corporate कर्मचारियों को भी ऐसे संदेश मिले
    • इसे सितंबर 2023 की Connectivity Source से जुड़ी leaked data का ही स्रोत मानना मुश्किल है
    • हालांकि इस संभावना को पूरी तरह खारिज भी नहीं किया जा सकता
  • T-Mobile PR ने जवाब दिया कि “सिस्टम में कोई breach नहीं हुआ”
    • कंपनी इन गैरकानूनी गतिविधियों के लिए भेजे जा रहे संदेशों की जांच जारी रखे हुए है
    • अन्य wireless carriers ने भी ऐसे ही संदेशों की सूचना दी है

ग्राहक कौन-सा जोखिम कम कर सकते हैं

  • यह बात ग्राहकों के लिए चिंता का कारण है कि अपराधी अब भी SIM स्वैपिंग को कमाई वाला हमला मानते हैं
  • अगर कुछ कर्मचारी जल्दी नकद कमाने के लिए ऐसे ऑफर मान लें, तो ग्राहकों के अकाउंट और धन सीधे खतरे में पड़ सकते हैं
  • ग्राहक ये कदम उठा सकते हैं:
    • ऑनलाइन सेवाओं में 2FA को SMS-आधारित न रखें
    • Google Authenticator या Authy जैसे authenticator app का इस्तेमाल करें
    • अगर बैंक या cryptocurrency wallet सेवा 2FA के लिए सिर्फ SMS देती है, तो दूसरी सेवा पर जाने पर विचार करें
    • अपने T-Mobile अकाउंट में SIM protection सक्रिय करें

1 टिप्पणियां

 
GN⁺ 2024-04-16
Hacker News की राय
  • क्या T-Mobile अपने कर्मचारियों को यह दिखाने के लिए खुद SMS भेज सकता है कि इनाम की रकम $600 कर दी गई है, और फिर जो कर्मचारी जवाब दें उन्हें निकाल दे?
    या फिर कर्मचारी लाइन डिस्काउंट की शर्तें बदलकर SMS की सामग्री या metadata मॉनिटर करने की अनुमति ले सकता है, ताकि कंपनी उपयोगकर्ताओं के खिलाफ सुरक्षा खतरों का पता लगाया जा सके

    • T-Mobile बहुत कुछ कर सकता है, लेकिन पहले यह देखना होगा कि उसे परवाह क्यों करनी चाहिए
      SIM swap के बदले भुगतान का झांसा देना कानूनी है या नहीं, पता नहीं, लेकिन वह गौण मुद्दा है; अतीत में T-Mobile ने ऐसी चीज़ों की सच में परवाह की हो, ऐसा बहुत कम सबूत दिखता है
    • करने के लिए बहुत कुछ है: 1) SIM बदलने के लिए 2 कर्मचारियों और एक phone agent की संयुक्त मंजूरी हो, 2) जिस नंबर पर बदलाव होना है उस पर कॉल करके रिसीवर से पुष्टि की जाए कि उसे नंबर ट्रांसफर की जानकारी है, 3) बदलाव से पहले 24 घंटे की मोहलत रखी जाए और उस नंबर के उपयोगकर्ता से संपर्क करने की कोशिश की जाए, 4) अगर कोई सहकर्मी के रिश्वत लेने का सबूत दे तो $10,000 से अधिक का बड़ा इनाम दिया जाए
    • सिर्फ इतना नोटिस भेज देना कि ऐसे ऑफर का जवाब देने पर नौकरी जा सकती है, कुछ हद तक समस्या कम कर सकता है
    • या शुरुआत से ही इतना वेतन दो कि लोग लालच में न पड़ें
  • SIM swap attack में “insider” की भूमिका कोई नई बात नहीं है। मेरे एक करीबी दोस्त का T-Mobile फोन भी मार्च 2020 में इसी तरह compromise हुआ था
    इस खबर की असली बात यह है कि data breach और SIM swap अब मिल गए हैं। अपराधी हालिया T-Mobile breach में शामिल कर्मचारी फोन नंबरों का इस्तेमाल करके बड़ी संख्या में कर्मचारियों को एक साथ text भेज रहे हैं, और प्रति केस $300 की पेशकश कर रहे हैं
    पहले insider बनाने के लिए निजी संपर्कों का सहारा लेना पड़ता था या सीधे नौकरी लेकर अंदर जाना पड़ता था, लेकिन leaked data की वजह से अब इसे automate करके बड़े पैमाने पर करना संभव हो गया है

    • यहाँ कमज़ोरी पर वार करने का तरीका fake honeypot offer फैलाना है। इस योजना की कमजोरी यह है कि भरोसे की कमी और anonymity दोनों पक्षों पर असर डालती है
      यानी “पुराने तरीके” में सिर्फ insider बनाना ही नहीं, बल्कि insider को यह भरोसा दिलाना भी शामिल था कि सामने वाला भरोसेमंद है
    • crypto दुनिया में मेरी जानकारी के अनुसार यह कम से कम 2018 की शुरुआत से चल रहा है
    • समझ नहीं आता लोग $300 के लिए अपनी नौकरी दांव पर क्यों लगाएंगे
    • मेरे साथ यह 2000s के आखिर में, शायद 2008 के आसपास हुआ था
  • यहाँ समाधान क्या है? क्या यह व्यावहारिक होगा कि offline store के कर्मचारी ग्राहक का फोन नंबर नए SIM पर ट्रांसफर ही न कर सकें? अगर ग्राहक कहे कि उसका फोन खो गया या चोरी हो गया है, तो फिर क्या करना चाहिए?
    आदर्श रूप से यह सत्यापन होना चाहिए कि ग्राहक वास्तव में मौके पर मौजूद था और उसकी ID जांची गई थी, लेकिन अमेरिका में कोई सार्वभौमिक रूप से इस्तेमाल होने वाली ID जैसी चीज़ नहीं है, इसलिए समझ नहीं आता यह कैसे किया जाए। और मेरा मानना है कि बिना ID के भी फोन नंबर मिलना संभव होना चाहिए; ऐसे में सत्यापन खुद ही अटक जाता है
    समस्या यह है कि मोबाइल फोन लगभग हमारी डिजिटल ज़िंदगी का root of trust बन चुका है। passkeys का OS में built-in होना अच्छा है क्योंकि इससे यह समस्या carriers से कुछ हद तक हटती है, लेकिन मूल समस्या बनी रहती है। शुरुआत में trust स्थापित करना कठिन है

    • समाधान यह है कि डिजिटल जीवन की access carriers के भरोसे न छोड़ी जाए
      “ग्राहक वास्तव में मौके पर मौजूद था और उसकी ID जांची गई” — यहाँ “मौका” आखिर कहाँ है? मेरे MVNO की कोई branch ही नहीं है। branch हो भी तो मैं वहाँ क्यों जाऊँ? bank branch भी मैं हो सके तो नहीं जाता
    • अमेरिका में भी कई तरह की पहचान सत्यापन ज़रूरतों के लिए सरकार द्वारा जारी photo ID मांगने वाली नीतियाँ बिल्कुल असामान्य नहीं हैं। मेरी जानकारी में हर state में ऐसी ID उपलब्ध है जो सार्वभौमिक रूप से जारी की जा सकती है। आम तौर पर यह मुफ्त नहीं होती, लेकिन हर कोई इसे बनवा सकता है
    • आसान समाधान है password recovery के लिए SMS का इस्तेमाल न करना
      SMS 2FA के लिए शायद ठीक हो सकता है, लेकिन वह हमेशा दूसरा factor होना चाहिए। “password भूल गया” → SMS code → नया password, यह असल में 1-factor authentication है। SMS को इकलौते factor की तरह इस्तेमाल करना सच में खराब है
    • किसी भी SIM बदलाव या दूसरे काम से पहले खाते पर PIN की मांग करना प्रवेश-रुकावट के रूप में काफी उपयोगी लगता है
      तब किसी भ्रष्ट कर्मचारी को SIM बदलाव लागू करने के लिए एक अतिरिक्त जानकारी चाहिए होगी जो उसके पास नहीं है
    • सिर्फ एक साधारण time delay भी 99% मामलों को संभाल सकता है
      SIM तभी बदला जा सके जब वह 48 घंटे तक mobile network से disconnected रहा हो, और अगर वह disconnected नहीं है तो मौजूदा SIM पर कॉल या text भेजकर पुष्टि की जाए कि उपयोगकर्ता सच में यह बदलाव चाहता है
  • मैं crypto industry में काम करता हूँ और SIM swap लगातार देखता हूँ। इसका इस्तेमाल अक्सर मशहूर लोगों के Twitter accounts hijack करने में होता है, फिर phishing link पोस्ट करके followers के coin चुरा लिए जाते हैं। इस क्षेत्र में T-Mobile का नाम असामान्य रूप से बहुत आता है, और ज़्यादातर पीड़ित T-Mobile इस्तेमाल करते थे, इसलिए यह बहुत पुरानी समस्या है
    Twitter security की एक और बड़ी समस्या यह है that SMS के अलावा 2FA इस्तेमाल करने पर भी account छीना जा सकता है। अगर account पर phone number मौजूद है, तो उसे recovery method के रूप में इस्तेमाल करके 2FA को पूरी तरह bypass किया जा सकता है। यह security flaw कई सालों से है और अभी तक ठीक नहीं हुआ

    • अभी 2FA support करने वाली लगभग हर service में यह recovery vulnerability मौजूद है
      बहुत कम sites ऐसी हैं जो phone number देना पूरी तरह optional बनाती हैं, या कम से कम उसे recovery method के रूप में इस्तेमाल न करने देती हैं
      सिर्फ साधारण time lock भी बहुत मदद कर सकता है। उदाहरण के लिए SMS one-time password आधारित “2” factor recovery केवल 24 घंटे बाद ही संभव हो, और साथ ही बड़ी संख्या में “कोई व्यक्ति, जो शायद आप नहीं हैं, account recover करने की कोशिश कर रहा है” चेतावनी भेजी जाए, तथा वैध account owner को इसे रोकने का तरीका दिया जाए
    • कई sites में ऐसी खामी है जो SMS 2FA को व्यवहार में 1-factor authentication बना देती है। ज़रूरत सिर्फ phone number की होती है
      अगर non-SMS 2FA इस्तेमाल करने पर भी यह अनुमति हो, तो यह और बुरा है, क्योंकि इससे वैकल्पिक 2FA इस्तेमाल करने का उद्देश्य 100% निष्प्रभावी हो जाता है
  • यह विश्वास करना मुश्किल है कि SMS one-time password का इतना ज़्यादा उपयोग होता है। यह सार्वजनिक रूप से ज्ञात समस्या है, लेकिन यह सिर्फ़ मौजूदा attack vector को और भी खराब attack vector से बदलता है
    password तोड़ना या encrypted database में घुसना, सफल SIM swap करने की तुलना में 10 गुना ज़्यादा कठिन है

    • अच्छा password तोड़ना कठिन है, लेकिन काफ़ी लोग अच्छे password इस्तेमाल नहीं करते या किसी भी phishing web form में बिना सोचे-समझे डाल देते हैं
      समय-सीमा वाले 2-step code को SIM swap या targeted phishing से तोड़ा जा सकता है, लेकिन यह बड़े पैमाने की spam-based phishing campaign की तुलना में कम आम है
      इसका मतलब यह नहीं कि मुझे SMS 2-factor authentication पसंद है; मुझे यह सच में नापसंद है
    • मेरे बैंक ने हाल ही में 2-factor authentication विकल्पों से SMS हटाया है और TOTP अनिवार्य करने वाला फीचर जोड़ा है
      अब बस WebAuthn भी जोड़ दे तो अच्छा होगा। फिर भी browser-integrated password manager के साथ इस्तेमाल किया गया TOTP phishing के ख़िलाफ़ काफ़ी सुरक्षित है, क्योंकि अगर autofill न दिखे तो शक किया जा सकता है
    • यह आसान है, ग्राहक के लिए मुफ़्त है, और iPhone के “code autofill” जैसे फीचर की वजह से user experience भी सबसे सरल है
      SIM swap बहुत कम लोगों के साथ होता है, इसलिए संबंधित पक्षों के नज़रिए से इसमें मेहनत करना कम फ़ायदेमंद लगता है। मुझे भी यह पसंद नहीं, लेकिन हक़ीक़त यही है
    • लेकिन एक बार यह सफल हो जाए तो एक साथ कई accounts compromise हो जाते हैं
      आज के समय में username और password पर आधारित हर चीज़ को passkeys से बदल देना चाहिए। जिन समस्याओं को passkeys हल नहीं कर पाते, वे हैं 2-factor authentication और account recovery
    • सख़्ती से कहें तो इसे “बदलना” नहीं कहा जा सकता। SMS one-time password से पहले सिर्फ़ password ही हुआ करता था
      password + SMS one-time password, SMS तरीका कितना भी खराब क्यों न हो, अपने आप में फिर भी बेहतर है
  • लगता है FCC SIM swap रोकने के लिए नए नियम लागू कर रहा है, और ये 8 जुलाई 2024 से प्रभावी होंगे। हालांकि सिर्फ़ press release देखकर यह साफ़ नहीं है कि अगर telecom company का कर्मचारी ही malicious actor हो, तो भी क्या ग्राहकों की सुरक्षा हो पाएगी
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • मज़ाक नहीं कर रहा, लेकिन अगर कोई telecom provider बदलाव के समय DNA sample माँगे, तो शायद उसके लिए बाज़ार हो
    DNA को एक साथ कई स्रोतों से लिया जा सकता है, जैसे blood, saliva, या randomly चुने गए नाखून। और provider को DNA string ख़ुद स्टोर न करनी पड़े, इसके लिए hashing का उपयोग किया जा सकता है। DNA अपने आप में UUID जैसी चीज़ नहीं है, इसलिए कुछ innovation की ज़रूरत होगी, लेकिन मुझे लगता है यह संभव है। VIP लोग इस सेवा के लिए पैसे देंगे, और hacking damage के ख़िलाफ़ limited insurance भी दी जा सकती है
    जोड़ने के लिए: “Forensic Files” के एक episode में एक suspect था जिसने sexual assault DNA test से बचने के लिए किसी और के blood sample को अपने शरीर में inject कर लिया था। इसलिए मैं मानता हूँ कि DNA तरीका भी attack किया जा सकता है। इसी वजह से कई random sample की ज़रूरत होगी

    • Sam Altman के Worldcoin जैसा iris scan भी संभव हो सकता है
  • multi-factor authentication के लिए सच में बेहतर standards की ज़रूरत है। शायद multi-factor authentication की कानूनी परिभाषा तय होनी चाहिए, और SMS को email जैसी चीज़ों के बराबर 2-step authentication के रूप में वर्गीकृत करना चाहिए
    मेरा मानना है कि असली multi-factor authentication को Yubikey या दूसरे hardware certificate-आधारित devices तक सीमित होना चाहिए। और अगर कोई सिस्टम प्रति method सिर्फ़ एक token ही support करता है, तो उसे multi-factor authentication कहकर advertise करने की अनुमति नहीं होनी चाहिए

    • लोगों से यह उम्मीद करना कि उनके पास Yubikey होगा, अव्यावहारिक है
      व्यावहारिक रूप से देखें तो iPhone Keychain ही शायद सीमा के काफ़ी करीब है, और वह भी कुछ हद तक hardware security पर निर्भर करता है
    • https://www.cisa.gov/sites/default/files/publications/fact-s... ("CISA.gov: Implementing Phishing-Resistant MFA")
      https://passkeys.dev/
      https://passkeys.directory/
  • यह सिर्फ़ SIM या T-Mobile की समस्या नहीं है
    ज़्यादातर customer service representatives को बहुत कम वेतन मिलता है, और खासकर दूसरे देशों में पश्चिमी मानकों के हिसाब से कम पैसों में कुछ ख़ास काम करवा देने वाला व्यक्ति ढूँढना मुश्किल नहीं होता। customer service representatives के पास अक्सर मज़बूत privileges और sensitive information की access होती है, और access control ढीला होता है
    चाहे SMS और multi-factor authentication की समस्या हल भी हो जाए, attackers अगली सबसे कमज़ोर जगह पर हमला करेंगे

    • अमेरिका के ग्राहकों को संभालने वाली हर customer service को अमेरिका, यूनाइटेड किंगडम, आयरलैंड, कनाडा, ऑस्ट्रेलिया, न्यूज़ीलैंड में ही स्थित होना चाहिए — यह क़ानून बनाने के मेरे प्रस्ताव का एक और कारण है
    • फिर भी आदर्श रूप से अगली कमज़ोरी कम वेतन पाने वाले, आर्थिक रूप से असुरक्षित कर्मचारी नहीं होनी चाहिए, बल्कि उससे कहीं ज़्यादा सुरक्षित होनी चाहिए
      जहाँ तक मुझे पता है, SMS 2-factor authentication सभी तरीकों में सबसे आसानी से टूटता है। कम-से-कम email के मामले में पहले password चाहिए, और कुछ मामलों में अलग 2-factor authentication भी पार करना पड़ता है
  • एक सरल दिखने वाला विचार यह है कि एक optional option हो, जिसमें account की line को नए SIM पर तभी transfer किया जा सके जब मौजूदा SIM base-station network के हिसाब से offline हो
    ऐसा भी बनाया जा सकता है कि customer service इस restriction को bypass न कर सके
    अगर कोई फ़ोन चुरा ले, तो वह activation lock से बचने के लिए उसे जितनी जल्दी हो सके airplane mode में डालने की कोशिश करेगा। अगर फ़ोन समुद्र में गिर गया हो या चट्टान से नीचे जा गिरा हो, तो संभव है कि वह ज़्यादा देर तक काम ही न करे। अगर आपको इस बात की चिंता है कि फ़ोन खो गया है लेकिन अभी भी चालू है और मिल नहीं रहा, तो आप यह option चालू न करें

    • SIM card पर “क्या आप transfer करना चाहते हैं?” वाला संदेश भेजा जा सकता है
      अगर कोई जवाब न आए, तो 48 घंटे बाद transfer हो जाए; अगर “हाँ” कहा जाए, तो तुरंत transfer हो जाए। अगर “नहीं” कहा जाए, तो transfer का अनुरोध करने वाले व्यक्ति को कुछ सवालों के जवाब देने पड़ें
    • मौजूदा line पर verification request भेजकर grace period भी रखा जा सकता है। अगर उपयोगकर्ता को grace period पहले से ख़ुद चुनने दिया जाए, तो कोई यह जानकर कि उपयोगकर्ता flight में है, उसकी line hijack नहीं कर पाएगा
      उदाहरण के लिए, अगर फ़ोन खो गया है और शायद सड़क किनारे कहीं पड़ा है इसलिए जवाब नहीं दिया जा सकता, तो verification request का जवाब न मिलने पर लगभग 8 घंटे बाद line transfer हो सकती है
    • optional SIM protection फीचर पहले से मौजूद है। SIM card को lock कर दें तो unlock होने तक line transfer नहीं की जा सकती