- अमेरिका भर में T-Mobile कर्मचारियों को ऐसे अवैध SIM स्वैपिंग अनुरोध वाले टेक्स्ट मिले, जिनमें ग्राहक की लाइन को हमलावर के पास मौजूद SIM पर ट्रांसफर करने को कहा गया
- इन संदेशों में प्रति केस 300 डॉलर और Telegram पर संपर्क का प्रस्ताव दिया गया, साथ ही अलग-अलग एरिया कोड वाले नंबर इस्तेमाल किए गए ताकि ब्लॉक करना मुश्किल हो
- टेक्स्ट में यह भी लिखा था कि कर्मचारियों के नंबर “T-Mo employee directory” से मिले हैं, और निशाने पर सिर्फ मौजूदा कर्मचारी ही नहीं बल्कि कुछ महीने पहले नौकरी छोड़ चुके पूर्व कर्मचारी भी शामिल थे
- T-Mobile ने कहा कि सिस्टम में कोई breach नहीं हुआ, लेकिन गैरकानूनी काम के लिए उकसाने वाले इन संदेशों की जांच जारी है, और अन्य wireless carriers में भी ऐसे मामले रिपोर्ट हुए हैं
- ग्राहकों को SMS-आधारित 2FA पर निर्भरता कम करनी चाहिए और authenticator app के साथ SIM protection चालू करके account takeover का जोखिम घटाना चाहिए
कर्मचारियों को सीधे भेजे गए SIM स्वैपिंग प्रस्ताव
- SIM स्वैपिंग में हमलावर पीड़ित की फोन लाइन को अपने SIM पर ट्रांसफर करा लेता है, जिससे पीड़ित को भेजे गए 2FA कोड इंटरसेप्ट कर ऑनलाइन अकाउंट्स तक पहुंच बनाई जा सके
- इससे पीड़ित अपने बैंक अकाउंट या cryptocurrency wallet से पैसे गंवा सकता है
- कई Reddit पोस्ट और अलग-अलग रिपोर्टों के अनुसार, अमेरिका भर में T-Mobile कर्मचारियों को SIM स्वैपिंग के बदले नकद ऑफर वाले संदेश मिले
- इन संदेशों में हर SIM स्वैप के लिए 300 डॉलर देने और Telegram पर संपर्क करने को कहा गया
- भेजने वाले नंबर अलग-अलग एरिया कोड के कई नंबरों में बदलते रहे, इसलिए सिर्फ नंबर ब्लॉक करना काफी नहीं था
कर्मचारी संपर्क जानकारी का स्रोत और breach की स्थिति
- टेक्स्ट में कहा गया था कि कर्मचारियों के फोन नंबर “T-Mo employee directory” से लिए गए हैं
- अगर यह सच है, तो संभव है कि किसी तरह T-Mobile की उस कर्मचारी डायरेक्टरी तक पहुंच मिली हो जिसमें संपर्क जानकारी शामिल है
- कुछ महीने पहले नौकरी छोड़ चुके पूर्व कर्मचारी भी निशाने पर थे, इसलिए यह संभावना कम लगती है कि हमलावर अभी रियल-टाइम में डेटा एक्सेस कर रहा हो
- कर्मचारियों के नंबर कहां से आए, यह अभी तय नहीं है
- ऑनलाइन टिप्पणियों के आधार पर, कुछ third-party कर्मचारी भी प्रभावित दिखते हैं
- यह भी अलग से पुष्टि हुई कि मौजूदा T-Mobile corporate कर्मचारियों को भी ऐसे संदेश मिले
- इसे सितंबर 2023 की Connectivity Source से जुड़ी leaked data का ही स्रोत मानना मुश्किल है
- हालांकि इस संभावना को पूरी तरह खारिज भी नहीं किया जा सकता
- T-Mobile PR ने जवाब दिया कि “सिस्टम में कोई breach नहीं हुआ”
- कंपनी इन गैरकानूनी गतिविधियों के लिए भेजे जा रहे संदेशों की जांच जारी रखे हुए है
- अन्य wireless carriers ने भी ऐसे ही संदेशों की सूचना दी है
ग्राहक कौन-सा जोखिम कम कर सकते हैं
- यह बात ग्राहकों के लिए चिंता का कारण है कि अपराधी अब भी SIM स्वैपिंग को कमाई वाला हमला मानते हैं
- अगर कुछ कर्मचारी जल्दी नकद कमाने के लिए ऐसे ऑफर मान लें, तो ग्राहकों के अकाउंट और धन सीधे खतरे में पड़ सकते हैं
- ग्राहक ये कदम उठा सकते हैं:
- ऑनलाइन सेवाओं में 2FA को SMS-आधारित न रखें
- Google Authenticator या Authy जैसे authenticator app का इस्तेमाल करें
- अगर बैंक या cryptocurrency wallet सेवा 2FA के लिए सिर्फ SMS देती है, तो दूसरी सेवा पर जाने पर विचार करें
- अपने T-Mobile अकाउंट में SIM protection सक्रिय करें
1 टिप्पणियां
Hacker News की राय
क्या T-Mobile अपने कर्मचारियों को यह दिखाने के लिए खुद SMS भेज सकता है कि इनाम की रकम $600 कर दी गई है, और फिर जो कर्मचारी जवाब दें उन्हें निकाल दे?
या फिर कर्मचारी लाइन डिस्काउंट की शर्तें बदलकर SMS की सामग्री या metadata मॉनिटर करने की अनुमति ले सकता है, ताकि कंपनी उपयोगकर्ताओं के खिलाफ सुरक्षा खतरों का पता लगाया जा सके
SIM swap के बदले भुगतान का झांसा देना कानूनी है या नहीं, पता नहीं, लेकिन वह गौण मुद्दा है; अतीत में T-Mobile ने ऐसी चीज़ों की सच में परवाह की हो, ऐसा बहुत कम सबूत दिखता है
SIM swap attack में “insider” की भूमिका कोई नई बात नहीं है। मेरे एक करीबी दोस्त का T-Mobile फोन भी मार्च 2020 में इसी तरह compromise हुआ था
इस खबर की असली बात यह है कि data breach और SIM swap अब मिल गए हैं। अपराधी हालिया T-Mobile breach में शामिल कर्मचारी फोन नंबरों का इस्तेमाल करके बड़ी संख्या में कर्मचारियों को एक साथ text भेज रहे हैं, और प्रति केस $300 की पेशकश कर रहे हैं
पहले insider बनाने के लिए निजी संपर्कों का सहारा लेना पड़ता था या सीधे नौकरी लेकर अंदर जाना पड़ता था, लेकिन leaked data की वजह से अब इसे automate करके बड़े पैमाने पर करना संभव हो गया है
यानी “पुराने तरीके” में सिर्फ insider बनाना ही नहीं, बल्कि insider को यह भरोसा दिलाना भी शामिल था कि सामने वाला भरोसेमंद है
यहाँ समाधान क्या है? क्या यह व्यावहारिक होगा कि offline store के कर्मचारी ग्राहक का फोन नंबर नए SIM पर ट्रांसफर ही न कर सकें? अगर ग्राहक कहे कि उसका फोन खो गया या चोरी हो गया है, तो फिर क्या करना चाहिए?
आदर्श रूप से यह सत्यापन होना चाहिए कि ग्राहक वास्तव में मौके पर मौजूद था और उसकी ID जांची गई थी, लेकिन अमेरिका में कोई सार्वभौमिक रूप से इस्तेमाल होने वाली ID जैसी चीज़ नहीं है, इसलिए समझ नहीं आता यह कैसे किया जाए। और मेरा मानना है कि बिना ID के भी फोन नंबर मिलना संभव होना चाहिए; ऐसे में सत्यापन खुद ही अटक जाता है
समस्या यह है कि मोबाइल फोन लगभग हमारी डिजिटल ज़िंदगी का root of trust बन चुका है। passkeys का OS में built-in होना अच्छा है क्योंकि इससे यह समस्या carriers से कुछ हद तक हटती है, लेकिन मूल समस्या बनी रहती है। शुरुआत में trust स्थापित करना कठिन है
“ग्राहक वास्तव में मौके पर मौजूद था और उसकी ID जांची गई” — यहाँ “मौका” आखिर कहाँ है? मेरे MVNO की कोई branch ही नहीं है। branch हो भी तो मैं वहाँ क्यों जाऊँ? bank branch भी मैं हो सके तो नहीं जाता
SMS 2FA के लिए शायद ठीक हो सकता है, लेकिन वह हमेशा दूसरा factor होना चाहिए। “password भूल गया” → SMS code → नया password, यह असल में 1-factor authentication है। SMS को इकलौते factor की तरह इस्तेमाल करना सच में खराब है
तब किसी भ्रष्ट कर्मचारी को SIM बदलाव लागू करने के लिए एक अतिरिक्त जानकारी चाहिए होगी जो उसके पास नहीं है
SIM तभी बदला जा सके जब वह 48 घंटे तक mobile network से disconnected रहा हो, और अगर वह disconnected नहीं है तो मौजूदा SIM पर कॉल या text भेजकर पुष्टि की जाए कि उपयोगकर्ता सच में यह बदलाव चाहता है
मैं crypto industry में काम करता हूँ और SIM swap लगातार देखता हूँ। इसका इस्तेमाल अक्सर मशहूर लोगों के Twitter accounts hijack करने में होता है, फिर phishing link पोस्ट करके followers के coin चुरा लिए जाते हैं। इस क्षेत्र में T-Mobile का नाम असामान्य रूप से बहुत आता है, और ज़्यादातर पीड़ित T-Mobile इस्तेमाल करते थे, इसलिए यह बहुत पुरानी समस्या है
Twitter security की एक और बड़ी समस्या यह है that SMS के अलावा 2FA इस्तेमाल करने पर भी account छीना जा सकता है। अगर account पर phone number मौजूद है, तो उसे recovery method के रूप में इस्तेमाल करके 2FA को पूरी तरह bypass किया जा सकता है। यह security flaw कई सालों से है और अभी तक ठीक नहीं हुआ
बहुत कम sites ऐसी हैं जो phone number देना पूरी तरह optional बनाती हैं, या कम से कम उसे recovery method के रूप में इस्तेमाल न करने देती हैं
सिर्फ साधारण time lock भी बहुत मदद कर सकता है। उदाहरण के लिए SMS one-time password आधारित “2” factor recovery केवल 24 घंटे बाद ही संभव हो, और साथ ही बड़ी संख्या में “कोई व्यक्ति, जो शायद आप नहीं हैं, account recover करने की कोशिश कर रहा है” चेतावनी भेजी जाए, तथा वैध account owner को इसे रोकने का तरीका दिया जाए
अगर non-SMS 2FA इस्तेमाल करने पर भी यह अनुमति हो, तो यह और बुरा है, क्योंकि इससे वैकल्पिक 2FA इस्तेमाल करने का उद्देश्य 100% निष्प्रभावी हो जाता है
यह विश्वास करना मुश्किल है कि SMS one-time password का इतना ज़्यादा उपयोग होता है। यह सार्वजनिक रूप से ज्ञात समस्या है, लेकिन यह सिर्फ़ मौजूदा attack vector को और भी खराब attack vector से बदलता है
password तोड़ना या encrypted database में घुसना, सफल SIM swap करने की तुलना में 10 गुना ज़्यादा कठिन है
समय-सीमा वाले 2-step code को SIM swap या targeted phishing से तोड़ा जा सकता है, लेकिन यह बड़े पैमाने की spam-based phishing campaign की तुलना में कम आम है
इसका मतलब यह नहीं कि मुझे SMS 2-factor authentication पसंद है; मुझे यह सच में नापसंद है
अब बस WebAuthn भी जोड़ दे तो अच्छा होगा। फिर भी browser-integrated password manager के साथ इस्तेमाल किया गया TOTP phishing के ख़िलाफ़ काफ़ी सुरक्षित है, क्योंकि अगर autofill न दिखे तो शक किया जा सकता है
SIM swap बहुत कम लोगों के साथ होता है, इसलिए संबंधित पक्षों के नज़रिए से इसमें मेहनत करना कम फ़ायदेमंद लगता है। मुझे भी यह पसंद नहीं, लेकिन हक़ीक़त यही है
आज के समय में username और password पर आधारित हर चीज़ को passkeys से बदल देना चाहिए। जिन समस्याओं को passkeys हल नहीं कर पाते, वे हैं 2-factor authentication और account recovery
password + SMS one-time password, SMS तरीका कितना भी खराब क्यों न हो, अपने आप में फिर भी बेहतर है
लगता है FCC SIM swap रोकने के लिए नए नियम लागू कर रहा है, और ये 8 जुलाई 2024 से प्रभावी होंगे। हालांकि सिर्फ़ press release देखकर यह साफ़ नहीं है कि अगर telecom company का कर्मचारी ही malicious actor हो, तो भी क्या ग्राहकों की सुरक्षा हो पाएगी
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
मज़ाक नहीं कर रहा, लेकिन अगर कोई telecom provider बदलाव के समय DNA sample माँगे, तो शायद उसके लिए बाज़ार हो
DNA को एक साथ कई स्रोतों से लिया जा सकता है, जैसे blood, saliva, या randomly चुने गए नाखून। और provider को DNA string ख़ुद स्टोर न करनी पड़े, इसके लिए hashing का उपयोग किया जा सकता है। DNA अपने आप में UUID जैसी चीज़ नहीं है, इसलिए कुछ innovation की ज़रूरत होगी, लेकिन मुझे लगता है यह संभव है। VIP लोग इस सेवा के लिए पैसे देंगे, और hacking damage के ख़िलाफ़ limited insurance भी दी जा सकती है
जोड़ने के लिए: “Forensic Files” के एक episode में एक suspect था जिसने sexual assault DNA test से बचने के लिए किसी और के blood sample को अपने शरीर में inject कर लिया था। इसलिए मैं मानता हूँ कि DNA तरीका भी attack किया जा सकता है। इसी वजह से कई random sample की ज़रूरत होगी
multi-factor authentication के लिए सच में बेहतर standards की ज़रूरत है। शायद multi-factor authentication की कानूनी परिभाषा तय होनी चाहिए, और SMS को email जैसी चीज़ों के बराबर 2-step authentication के रूप में वर्गीकृत करना चाहिए
मेरा मानना है कि असली multi-factor authentication को Yubikey या दूसरे hardware certificate-आधारित devices तक सीमित होना चाहिए। और अगर कोई सिस्टम प्रति method सिर्फ़ एक token ही support करता है, तो उसे multi-factor authentication कहकर advertise करने की अनुमति नहीं होनी चाहिए
व्यावहारिक रूप से देखें तो iPhone Keychain ही शायद सीमा के काफ़ी करीब है, और वह भी कुछ हद तक hardware security पर निर्भर करता है
https://passkeys.dev/
https://passkeys.directory/
यह सिर्फ़ SIM या T-Mobile की समस्या नहीं है
ज़्यादातर customer service representatives को बहुत कम वेतन मिलता है, और खासकर दूसरे देशों में पश्चिमी मानकों के हिसाब से कम पैसों में कुछ ख़ास काम करवा देने वाला व्यक्ति ढूँढना मुश्किल नहीं होता। customer service representatives के पास अक्सर मज़बूत privileges और sensitive information की access होती है, और access control ढीला होता है
चाहे SMS और multi-factor authentication की समस्या हल भी हो जाए, attackers अगली सबसे कमज़ोर जगह पर हमला करेंगे
जहाँ तक मुझे पता है, SMS 2-factor authentication सभी तरीकों में सबसे आसानी से टूटता है। कम-से-कम email के मामले में पहले password चाहिए, और कुछ मामलों में अलग 2-factor authentication भी पार करना पड़ता है
एक सरल दिखने वाला विचार यह है कि एक optional option हो, जिसमें account की line को नए SIM पर तभी transfer किया जा सके जब मौजूदा SIM base-station network के हिसाब से offline हो
ऐसा भी बनाया जा सकता है कि customer service इस restriction को bypass न कर सके
अगर कोई फ़ोन चुरा ले, तो वह activation lock से बचने के लिए उसे जितनी जल्दी हो सके airplane mode में डालने की कोशिश करेगा। अगर फ़ोन समुद्र में गिर गया हो या चट्टान से नीचे जा गिरा हो, तो संभव है कि वह ज़्यादा देर तक काम ही न करे। अगर आपको इस बात की चिंता है कि फ़ोन खो गया है लेकिन अभी भी चालू है और मिल नहीं रहा, तो आप यह option चालू न करें
अगर कोई जवाब न आए, तो 48 घंटे बाद transfer हो जाए; अगर “हाँ” कहा जाए, तो तुरंत transfer हो जाए। अगर “नहीं” कहा जाए, तो transfer का अनुरोध करने वाले व्यक्ति को कुछ सवालों के जवाब देने पड़ें
उदाहरण के लिए, अगर फ़ोन खो गया है और शायद सड़क किनारे कहीं पड़ा है इसलिए जवाब नहीं दिया जा सकता, तो verification request का जवाब न मिलने पर लगभग 8 घंटे बाद line transfer हो सकती है