1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Les Pirates Affirment Avoir Violé T-Mobile Plus De 100 Fois en 2022

Les Pirates Affirment Avoir Violé T-Mobile Plus De 100 Fois en 2022

Image: Shutterstock.com

Trois groupes de cybercriminels différents ont revendiqué l'accès aux réseaux internes du géant des communications Téléphone mobile dans plus de 100 incidents distincts tout au long de 2022, de nouvelles données suggèrent. Dans chaque cas, l'objectif des attaquants était le même: hameçonner les employés de T-Mobile pour accéder aux outils internes de l'entreprise, puis convertir cet accès en un service de cybercriminalité qui pourrait être embauché pour détourner tout Messages texte et appels téléphoniques de l'utilisateur de T-Mobile vers un autre appareil.

Les conclusions ci-dessus sont basées sur une analyse approfondie de Télégramme journaux de discussion de trois groupes ou acteurs distincts de la cybercriminalité qui ont été identifiés par les chercheurs en sécurité comme particulièrement actifs et efficaces à “Échange de cartes SIM, "ce qui implique de prendre temporairement le contrôle du numéro de téléphone portable d'une cible.

D'innombrables sites Web et services en ligne utilisent des messages texte SMS pour la réinitialisation des mots de passe et l'authentification multifacteur. Cela signifie que voler le numéro de téléphone d'une personne peut souvent permettre aux cybercriminels de détourner toute la vie numérique de la cible en peu de temps, y compris l'accès à tous les comptes financiers, de messagerie et de réseaux sociaux liés à ce numéro de téléphone.

Les trois entités d'échange de cartes SIM qui ont été suivies pour cette histoire restent actives en 2023, et elles mènent toutes des activités sur des canaux ouverts sur la plate-forme de messagerie instantanée Telegram. KrebsOnSecurity ne nomme pas ces canaux ou groupes ici car ils migreront simplement vers des serveurs plus privés s'ils sont exposés publiquement, et pour l'instant ces serveurs restent une source utile de renseignements sur leurs activités.

Chacun annonce son accès revendiqué aux systèmes T-Mobile de la même manière. Au minimum, chaque opportunité d'échange de SIM est annoncée avec un bref “Tmobile debout!” ou “Tmo debout!"message aux participants du canal. Les autres informations contenues dans les annonces incluent le prix d'une seule demande d'échange de carte SIM, le nom de la personne qui accepte le paiement et des informations sur l'abonné ciblé.

Les informations demandées au client du service d'échange de carte SIM incluent le numéro de téléphone de la cible, et le numéro de série lié à la nouvelle carte SIM qui sera utilisée pour recevoir des SMS et des appels téléphoniques du numéro de téléphone détourné.

Initialement, l'objectif de ce projet était de compter combien de fois chaque entité a réclamé l'accès à T-Mobile tout au long de 2022, en cataloguant les différents " Tmo up!"messages de chaque jour et travail à rebours à partir de décembre. 31, 2022.

Mais au moment où nous sommes arrivés aux réclamations faites à la mi-mai 2022, terminer le reste du calendrier de l'année semblait inutile. Le décompte montre qu'au cours des sept derniers mois et demi de 2022, ces groupes ont collectivement fait des réclamations d'échange de cartes SIM contre T-Mobile 104 jours distincts-souvent avec plusieurs groupes revendiquant l'accès les mêmes jours.

Les 104 jours de la seconde moitié de 2022 au cours desquels différents groupes d'échange de cartes SIM connus ont revendiqué l'accès aux outils des employés de T-Mobile.

KrebsOnSecurity a partagé une grande quantité de données recueillies pour cette histoire avec T-Mobile. La société a refusé de confirmer ou de nier l'une de ces intrusions alléguées. Mais dans une déclaration écrite, T-Mobile a déclaré que ce type d'activité affecte l'ensemble de l'industrie du sans fil.

"Et nous travaillons constamment pour lutter contre cela”, indique le communiqué. “Nous avons continué à apporter des améliorations qui protègent davantage contre les accès non autorisés, notamment en améliorant les contrôles d'authentification multifacteur, en durcissant les environnements, en limitant l'accès aux données, aux applications ou aux services, etc. Nous nous concentrons également sur la collecte de données sur les menaces, comme ce que vous avez partagé, pour aider à renforcer davantage ces efforts en cours.”

TMO DEBOUT!

S'il est vrai que chacun de ces acteurs cybercriminels propose périodiquement des services d'échange de cartes SIM pour d'autres fournisseurs de téléphonie mobile — notamment À & T, Verizon et les petits transporteurs-ces sollicitations apparaissent loin moins fréquemment dans ces discussions de groupe que les offres d'échange de T-Mobile. Et lorsque ces offres se concrétisent, elles sont considérablement plus chères.

Les prix annoncés pour un échange de cartes SIM contre les clients de T-Mobile au cours du second semestre de 2022 variaient entre 1 000 USD et 1 500 USD, tandis que les échanges de cartes SIM proposés contre les clients d'AT&T et de Verizon coûtent souvent bien plus du double de ce montant.

Pour être clair, KrebsOnSecurity n'est pas au courant d'incidents spécifiques d'échange de cartes SIM liés à l'une de ces réclamations pour violation. Cependant, la grande majorité des publicités pour des réclamations d'échange de cartes SIM contre T-Mobile suivies dans cette histoire avaient deux points communs qui les distinguaient des publicités aléatoires d'échange de cartes SIM sur Telegram.

Premièrement, ils ont inclus une offre d'utiliser un “intermédiaire” ou un fournisseur d'entiercement de confiance mutuelle pour la transaction (afin de protéger l'une ou l'autre des parties contre les arnaques). Plus important encore, les poignées de cybercriminels qui publiaient des annonces pour des opportunités d'échange de cartes SIM de ces groupes le faisaient généralement quotidiennement ou presque quotidiennement — taquinant souvent leurs prochains événements d'échange dans les heures précédant la publication d'un " Tmo up!"annonce de message.

En d'autres termes, si les escrocs offrant ces services d'échange de cartes SIM arnaquaient leurs clients ou prétendaient y avoir accès alors qu'ils ne l'ont pas fait, cela serait presque immédiatement évident d'après les réponses des cybercriminels les plus chevronnés et les plus sérieux sur le même canal de discussion.

Il y a beaucoup de gens sur Telegram qui prétendent avoir un accès SIM-swap dans les grandes entreprises de télécommunications, mais un grand nombre de ces offres ne sont que des escroqueries à quatre chiffres, et tous les prétendants sur ce front sont rapidement identifiés et interdits (sinon pire).

L'un des groupes qui a publié de manière fiable “Tmo up!"des messages annonçant la disponibilité de l'échange de cartes SIM contre les clients de T-Mobile ont également publié de manière fiable “Tmo down!"des messages de suivi annonçant exactement quand leur accès revendiqué aux outils des employés de T-Mobile a été découvert et révoqué par le géant de la téléphonie mobile.

Un examen des horodatages associés aux publications incessantes “Tmo up” et “Tmo down” de ce groupe indique que, bien que leur accès revendiqué aux outils des employés ait généralement duré moins d'une heure, dans certains cas, cet accès n'a apparemment pas été découvert pendant plusieurs heures, voire plusieurs jours.

OUTILS TMO

Comment ces groupes d'échange de cartes SIM pourraient-ils avoir accès au réseau de T-Mobile aussi fréquemment qu'ils le prétendent? Parsemées de bavardages quotidiens sur leurs canaux Telegram, des sollicitations sont adressées aux personnes qui ont un besoin urgent de servir d ' “appelants”, ou à celles qui peuvent être embauchées par téléphone pour que les employés de l'ingénieur social accèdent à un site Web de phishing et saisissent leurs informations d'identification d'employé.

Allison Nixon a écrit: est directeur de la recherche pour la firme de cybersécurité basée à New York Unité 221B. Nixon a déclaré que ces groupes d'échange de cartes SIM appellent généralement les employés sur leurs appareils mobiles, prétendent être quelqu'un du service informatique de l'entreprise, puis essaient d'amener la personne à l'autre bout du fil à visiter un site Web de phishing qui imite la page de connexion des employés de l'entreprise.

Nixon soutient que de nombreux membres de la communauté de la sécurité ont tendance à considérer la menace des attaques de phishing vocal comme des menaces “low tech” et “à faible probabilité”.

“Je considère que ce n'est pas du tout une technologie de base, car il y a beaucoup de pièces mobiles dans le phishing de nos jours”, a déclaré Nixon. "Vous avez l'appelant qui a l'employé en ligne et la personne qui utilise le kit d'hameçonnage qui doit le faire tourner de haut en bas assez rapidement pour qu'il ne soit pas signalé par les entreprises de sécurité. Ensuite, ils doivent amener l'employé sur ce site de phishing et voler ses informations d'identification.”

De plus, a-t-elle dit, il y aura souvent un autre co-conspirateur dont le travail consiste à utiliser les informations d'identification volées et à se connecter aux outils des employés. Cette personne peut également avoir besoin de savoir comment faire passer à son appareil des “contrôles de posture”, une forme d'authentification de l'appareil que certaines entreprises utilisent pour vérifier que chaque connexion provient uniquement de téléphones ou d'ordinateurs portables fournis par les employés.

Pour les criminels en herbe ayant peu d'expérience dans les appels frauduleux, de nombreux exemples de transcriptions d'appels sont disponibles sur ces canaux de discussion Telegram qui expliquent comment usurper l'identité d'un technicien informatique de l'entreprise ciblée et comment réagir au rejet ou au scepticisme de l'employé. Voici un extrait d'un de ces tutoriels qui est apparu récemment dans l'un des canaux d'échange de cartes SIM:

"Bonjour, c'est James qui appelle du département informatique de Metro, comment se passe ta journée aujourd'hui?”

(oui je vais bien, comment tu vas)

je vais très bien, merci d'avoir demandé

j'appelle à propos d'un ticket que nous avons reçu la semaine dernière de votre part, disant que vous aviez des problèmes de connectivité réseau qui interféraient également avec [Microsoft] Edge, ne vous permettant pas de vous connecter ou de vous déconnecter de manière aléatoire. Nous n'avons reçu aucune mise à jour de ce ticket depuis sa création, c'est pourquoi j'appelle juste pour voir s'il y a toujours un problème ou non....”

TMO À TERRE!

Les données TMO UP référencées ci-dessus, combinées aux commentaires des échangeurs de cartes SIM eux-mêmes, indiquent que bien que bon nombre de leurs accès revendiqués aux outils T-Mobile au milieu de 2022 aient duré des heures, la fréquence et la durée de ces événements ont commencé à diminuer régulièrement au fil de l'année.

T-Mobile a refusé de discuter de ce qu'il aurait pu faire pour lutter contre ces intrusions apparentes l'année dernière. Cependant, l'un des groupes a commencé à se plaindre bruyamment fin octobre 2022 que T-Mobile devait faire quelque chose qui provoquait la mort de leur accès par hameçonnage aux outils des employés très peu de temps après l'avoir obtenu.

Un groupe a même fait remarquer qu'il soupçonnait l'équipe de sécurité de T-Mobile d'avoir commencé à surveiller leurs discussions.

En effet, les horodatages associés aux avis TMO UP/TMO DOWN d'un groupe montrent que leur accès revendiqué était souvent limité à moins de 15 minutes en novembre et décembre 2022.

Quelle que soit la raison, le graphique du calendrier ci-dessus montre clairement que la fréquence d'accès revendiqué à T-Mobile a considérablement diminué dans les trois groupes d'échange de cartes SIM au cours des dernières semaines de 2022.

CLÉS DE SÉCURITÉ

T-Mobile US a déclaré des revenus de près de 80 milliards de dollars l'an dernier. Elle emploie actuellement plus de 71 000 personnes aux États-Unis, dont chacune peut être la cible de ces hameçonneurs.

T-Mobile a refusé de répondre aux questions sur ce qu'il pourrait faire pour renforcer l'authentification des employés. Mais Nicholas Tisserand, chercheur et conférencier à l'Université de Californie à Berkeley Institut International d'Informatique, a déclaré que T-Mobile et tous les principaux fournisseurs de services sans fil devraient obliger les employés à utiliser des clés de sécurité physiques pour ce deuxième facteur lors de la connexion aux ressources de l'entreprise.

Un appareil U2F fabriqué par Yubikey.

"Ces violations ne devraient pas se produire", a déclaré Weaver. "Parce que T-Mobile aurait dû depuis longtemps émettre des clés de sécurité à tous les employés et passer aux clés de sécurité pour le deuxième facteur. Et parce que les clés de sécurité bloquent de manière prouvée ce style d'attaque.”

Les clés de sécurité les plus couramment utilisées sont des périphériques USB peu coûteux. Une clé de sécurité implémente une forme d'authentification multifacteur connue sous le nom de 2e facteur universel (U2F), qui permet à l'utilisateur de terminer le processus de connexion simplement en insérant la clé USB et en appuyant sur un bouton de l'appareil. La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux.

L'attrait des appareils U2F pour l'authentification multifacteur est que même si un employé qui a inscrit une clé de sécurité pour l'authentification tente de se connecter à un site imposteur, les systèmes de l'entreprise refusent simplement de demander la clé de sécurité si l'utilisateur n'est pas sur le site Web légitime de son employeur, et la tentative de connexion échoue. Ainsi, le deuxième facteur ne peut pas être hameçonné, que ce soit par téléphone ou par Internet.

LE RÔLE DES MINEURS DANS L'ÉCHANGE DE CARTES SIM

Nixon a déclaré qu'un aspect déroutant de l'échange de SIM est que ces groupes criminels ont tendance à recruter des adolescents pour faire leur sale boulot.

“Une des principales raisons pour lesquelles ce problème a été laissé échapper à tout contrôle est que les enfants jouent un rôle si important dans cette forme de violation”, a déclaré Nixon.

Nixon a déclaré que les groupes d'échange de cartes SIM annoncent souvent des emplois de bas niveau sur des endroits comme Roblox et Minecraft Gratuit, des jeux en ligne extrêmement populaires auprès des jeunes adolescents masculins.

"Statistiquement parlant, ce type de recrutement va produire beaucoup de personnes mineures”, a-t-elle déclaré. "Ils recrutent des enfants parce qu'ils sont naïfs, qu'on peut en tirer plus, et qu'ils ont des protections juridiques que les autres personnes de plus de 18 ans n'ont pas.”

Par exemple, a-t-elle dit, même lorsque des mineurs SIM-swappers sont arrêtés, les délinquants ont tendance à recommencer à commettre les mêmes crimes dès leur libération.

En janvier 2023, T-Mobile divulguer qu'un” mauvais acteur " a volé des enregistrements sur environ 37 millions de clients actuels, y compris leur nom, adresse de facturation, e-mail, numéro de téléphone, date de naissance et numéro de compte T-Mobile.

En août 2021, T-Mobile a reconnu que les pirates informatiques s'étaient emparés des noms, dates de naissance, numéros de sécurité sociale et informations de permis de conduire/carte d'identité de plus de 40 millions de clients actuels, anciens ou potentiels qui ont demandé un crédit auprès de l'entreprise. Cette brèche est apparue après un pirate informatique a commencé à vendre les disques sur un forum de cybercriminalité.

Dans l'ombre de telles méga-violations, tout dommage causé par les attaques continues de ces groupes d'échange de cartes SIM peut sembler insignifiant en comparaison. Mais Nixon dit que c'est une erreur de rejeter l'échange de cartes SIM comme un problème de faible volume.

"Sur le plan logistique, vous ne pourrez peut-être obtenir que quelques dizaines ou centaines d'échanges de cartes SIM en une journée, mais vous pouvez choisir tout client que vous voulez sur l'ensemble de leur clientèle”, a-t-elle déclaré. “Ce n'est pas parce qu'une prise de contrôle de compte ciblée est à faible volume qu'elle présente un faible risque. Ces gars-là ont des équipes qui vont identifier les personnes qui sont des personnes fortunées et qui ont beaucoup à perdre.”

Nixon a déclaré qu'un autre aspect de l'échange de cartes SIM qui pousse les défenseurs de la cybersécurité à écarter la menace de ces groupes est la perception qu'ils sont pleins de “script kiddies” peu qualifiés, un terme dérisoire utilisé pour décrire les pirates novices qui s'appuient principalement sur des outils de piratage pointer-cliquer.

“Ils sous-estiment ces acteurs et disent que cette personne n'est pas techniquement sophistiquée”, a-t-elle déclaré. "Mais si vous roulez dans des millions de devises cryptographiques volées, vous pouvez acheter cette sophistication. Je sais pertinemment que certains de ces compromis étaient entre les mains de ces "script kiddies", mais ils n'arrachent pas autant les scripts des autres qu'ils embauchent des gens pour créer des scripts pour eux. Et ils ne se soucient pas de ce qui fait le travail, tant qu'ils arrivent à voler l'argent.”



>>Plus