Opfer von Telefondiebstahl im Fitnessstudio verlieren jeweils 10.000 US-Dollar (weil SMS 2FA)

Opfer von Telefondiebstahl im Fitnessstudio verlieren jeweils 10.000 US-Dollar (weil SMS 2FA)

Spread the love

Eine Flut von Diebstählen aus Schließfächern im Fitnessstudio erinnert uns daran, dass die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) absolut ist, aussprechen Müll. Ein Betrüger stiehlt Telefone und Debit-/Geldautomatenkarten und benutzt sie, um in London große Rechnungen zu kassieren.

Die Opfer sind alle Frauen, was die britische Polizei glauben lässt, dass der Dieb es auch ist. Aber wie funktioniert es? Und wie kann man sich schützen?

DevOps-Erfahrung 2022

Heben wir den Betrug auf. In der heutigen SB Blogwatch werden wir gepumpt.

Ihr bescheidener Blogwatcher hat diese Blogartikel zu Ihrer Unterhaltung kuratiert. Nicht zu vergessen: Katze in Trauer.

SMS 2FA: Geh weg

Avast! Was soll das? Shari Vahl berichtet, arrr – „Wie nimmt ein Dieb Tausende von Londoner Fitnessstudiobesuchern?“:

Die Einstellungen Ihres Telefons
Die Ähnlichkeiten in jedem der Fälle scheinen verblüffend – weibliche Opfer, die ihre Sachen in einem Schließfach in einer beliebten Fitnessstudio-Kette deponiert haben, nur um zurückzukommen und festzustellen, dass ihre Telefone und Karten gestohlen wurden. In denselben Geschäften wurde eine Reihe von hochwertigen Einkäufen getätigt. Der Dieb gönnt sich auch ein Fast-Food-Essen.

Telefone können natürlich mit Passwörtern und Gesichts- oder Fingerabdruckentsperrung unzugänglich gemacht werden. … Aber der Dieb hat eine Methode, die diese grundlegenden Sicherheitsprotokolle umgeht. Sobald sie das Telefon und die Karte haben, registrieren sie die Karte in der App der entsprechenden Bank auf ihrem eigenen Telefon oder Computer. Da die Karte zum ersten Mal auf dem neuen Gerät verwendet wird, ist ein einmaliger Sicherheitspasscode erforderlich. Dieser Verifizierungscode wird von der Bank an das gestohlene Telefon gesendet. Der Code blinkt auf dem gesperrten Bildschirm auf.

Der wichtigste Tipp ist, Handy und Karte nie zusammen zu lassen und auf keinen Fall die Karte in der Handyhülle aufzubewahren. … Abgesehen davon ist der beste Weg, diese spezielle Methode zu stoppen, sicherzustellen, dass sie den von der Bank gesendeten Bestätigungscode nicht lesen können. Dies geschieht in den Einstellungen Ihres Telefons [so] Nachrichten werden nicht mehr angezeigt, wenn Ihr Telefon gesperrt ist.

Klingt wie ein böser Traum. Hier ist Lydia Chantler-Hicks – „Fitnessdieb stiehlt Tausende“:

Albtraumhafte Erfahrung
Der ausgeklügelte Betrug hat gesehen, wie Frauen so viel verloren haben [$14,000] mit ihren Bankkonten, die während des Trainings ihre Lebensersparnisse aufgebraucht haben. … Es wird angenommen, dass es sich bei dem Dieb wahrscheinlich um eine Frau handelt, da sie wiederholt in die Umkleidekabinen von Frauen eindringen können, ohne Verdacht zu erregen.

Eine Frau namens Charlotte erzählte von der „Albtraum“-Erfahrung, die sie finanziell und geistig „zerbrochen“ machte. … Jemand brach in ihr Schließfach ein und stahl ihren Rucksack mit Telefon, Bankkarte und Schlüssel. Der Dieb setzte dann ihre … Online-Banking-Daten zurück und überwies Tausende von ihren Ersparnissen auf ihr Girokonto, bevor er sich auf eine „Whistle-Stop“-Einkaufstour begab.

Charlotte wer? Charlotte Morgan—@MorganBroadcast– ist mit der Reaktion ihrer Bank nicht zufrieden:

Dem Opfer die Schuld geben
Nach einer anstrengenden und frustrierenden Woche muss ich offen über etwas sprechen, das mir passiert ist (was dir auch passieren könnte). … Und ich bin nicht allein. Mindestens zwei andere [gym] Mitglieder haben auch ihre Schließfächer aufgebrochen und Habseligkeiten gestohlen. Wir sind alle ohne Telefone, Geld, Schlüssel.

Wir sprechen von ernsthaft organisiertem, ausgeklügeltem und kalkuliertem Betrug in einem Ausmaß und einer Geschwindigkeit wie nie zuvor. Es zu ignorieren, indem man dem Opfer die Schuld gibt, kann nicht die Antwort sein. … Der Anbieter muss nachweisen, dass ich fahrlässig oder betrügerisch gehandelt habe, was er nicht kann. Nur zu sagen, dass meine PIN verwendet wurde, bedeutet nicht, dass ich den Kauf autorisiert habe. [It] ist faul und darüber hinaus ärgerlich.

Code überprüfen? Sie sprechen von unserem alten Feind SMS 2FA. Nextgrid erinnert uns daran, wie einfach das ist:

SMS 2FA sendet einfach ein zeitlich begrenztes Geheimnis per SMS und prüft, ob der Benutzer es Ihnen zurückgibt.

Was könnte möglicherweise schief gehen? Christine Dodrill, Cadey und Cendyne erklären – „Zwei-Faktor-Authentifizierung wird als schädlich angesehen“:

Es ist 2022 und das ist immer noch eine Sache
Lassen Sie mich nicht einmal damit anfangen, wie durcheinander Dinge wie SMS-basierte Zwei-Faktor-Authentifizierung sind. Sie verwenden OTP-Codes im Backend für sie, senden sie dann aber über den einen Trägerkanal, der am wahrscheinlichsten unterstützt wird, um Phishing zu erhalten, damit ein Angreifer diese Codes abfangen kann. Es ist ein Chaos.

Es ist 2022 und das ist immer noch eine Sache. Ich denke, viele Benutzer und Entwickler sind darauf konditioniert zu denken, dass dies eine sichere Implementierung ist, weil jeder immer noch SMS-OTPs macht.

Ein Durcheinander? Slutty drückt es noch stärker aus:

Sicherheitstheater
[It] ist völliger Müll und sollte niemals in Anwendungen verwendet werden, die tatsächliche Sicherheit erfordern. Wenn Ihnen ein Code zugesendet wird, ist er defekt.

Die Art und Weise, wie 2FA funktionieren sollte, ist, dass Sie der Einzige sind, der Zugriff auf den Code und ein Passwort hat. So zum Beispiel mit der Google Auth-App oder mit mehreren anderen (weniger genutzten) Open-Source-Alternativen, bei denen Sie keine Informationen angeben müssen. … Die Tatsache, dass die Banken der Opfer anscheinend eine SMS-basierte „Authentifizierung“ verwenden, ist Sicherheitstheater, weil es in keiner Weise, Form oder Form sicher ist.

Aber wie funktioniert der Betrug? Sie brauchen doch sicher noch die PIN der Karte? (Weil sie in Großbritannien Chip+PIN machen.) Jamescocker hat versucht, den Hack zu reproduzieren:

volle Kontrolle
Ich war auch neugierig darauf, also beschloss ich, … zu sehen, was erforderlich wäre, um an die PIN meiner Karte zu kommen, und stellte mir vor, ich hätte nur mein gesperrtes Telefon und meine Brieftasche. … Kurzgesagt, [my bank’s app] gefragt:
• [Routing] Code & Kontonummer (auf physischer Karte)
• Vollständiger Name (auf physischer Karte)
• Geburtsdatum (am [license] im Portemonnaie)
• 6-stelliger Code per SMS (iPhone-Standardeinstellung ist „Vorschau anzeigen“)
• 4-stelliger Code per Telefonanruf (Telefon muss nicht entsperrt werden)

Dies ermöglichte mir:
• Rufen Sie den Online-Banking-Benutzernamen ab
• Zurücksetzen des Online-Banking-Passworts
• Online-Banking „merkwürdige Informationen“ zurücksetzen
[Now] Ich … habe die volle Kontrolle, einschließlich der Anzeige der PIN der Karte.

Aber selbst wenn das OTP nicht angezeigt wurde, Der Dieb könnte Ihre SIM-Karte auf ein anderes Telefon verschieben. u/ramakitty rät folgendermaßen:

Deshalb ist es [also] wichtig, eine SIM-PIN festgelegt zu haben.

In der Zwischenzeit, fropenn schlägt eine andere Sicherheitsebene vor:

Wenn Sie das iPhone ausschalten, ist der Passcode für alle Funktionen erforderlich – einschließlich der Kamera oder der Anzeige von Texten auf dem Sperrbildschirm. Schalten Sie Ihr Telefon also einfach aus, wenn Sie es irgendwo liegen lassen.

Und schlussendlich:

Japanische Katze beobachtet Queens Beerdigung

Früher drin Und schlussendlich


Sie haben gelesen SB Blogwatch von Richi Jennings. Richi kuratiert die besten Blogartikel, besten Foren und verrücktesten Websites … damit Sie es nicht tun müssen. Hassmails können an gerichtet werden @RiCHi Gold [email protected]. Fragen Sie vor dem Lesen Ihren Arzt. Ihr Kilometerstand kann variieren. E&OE. 30.

Bildsoße: Bruce Mars (über Unsplash; geebnet und zugeschnitten)

Leave a Comment

Your email address will not be published.