شركات الاتصالات الأمريكية عرضة لهجمات مبادلة بطاقة الاتصال
اكتشفت دراسة أكاديمية لجامعة برينستون أن خمس شركات اتصالات أمريكية كبرى تستخدم أساليب مصادقة معرضة لهجمات مبادلة بطاقة الاتصال، حيث أمضى أكاديميو جامعة برينستون وقتهم طوال العام الماضي في اختبار خمسة مزودي خدمات اتصالات رئيسيين في الولايات المتحدة لمعرفة ما إذا كان بإمكانهم خداع موظفي مركز الاتصال لتحويل رقم هاتف المستخدم إلى بطاقة اتصال أخرى دون تقديم بيانات اعتماد مناسبة.
ويجري مبادلة بطاقة الاتصال عندما يتصل أحد المهاجمين بمزود خدمة الهاتف المحمول ويخدع موظفي شركة الاتصالات لتغيير رقم هاتف الضحية إلى بطاقة اتصال مملوكة للمهاجم، مما يتيح له إعادة تعيين كلمات المرور والوصول إلى حسابات حساسة عبر الإنترنت، مثل البريد الإلكتروني أو بوابات الخدمات المصرفية الإلكترونية أو أنظمة تداول العملات الرقمية المشفرة.
متجر بريطاني يكشف أغطية وشكل Galaxy S20 | صور
ووفقًا لفريق البحث، فقد وجدوا أن AT&T و T-Mobile و Tracfone و US Mobile و Verizon Wireless تستخدم إجراءات ضعيفة مع مراكز دعم العملاء، وهي إجراءات يمكن أن يستخدمها المهاجمون لتنفيذ هجمات مبادلة بطاقة الاتصال.
واشترى الباحثون 10 خطوط مسبقة الدفع من شركات AT&T و T-Mobile و Tracfone و US Mobile و Verizon Wireless بمجموع 50 خطًا، واستخدموا هذه الخطوط على هاتف لإجراء مكالمات حقيقية وإنشاء سجل مكالمات واقعي، ووجدوا أنهم بحاجة فقط للإجابة بنجاح على شيء واحد للتحقق من هويتهم وجعل الشركات تقوم بتبديل خدمتهم على بطاقة اتصال مملوكة لهم.
ولاختبار التدابير الأمنية للشركات، طلبوا مبادلة بطاقة الاتصال، وقدموا عمداً رقم PIN غير صحيح لإجبار موظف خدمة العملاء على تجربة طريقة مصادقة أخرى، وعندما طلب منهم تاريخ ميلاد صاحب الحساب أو الرمز البريدي للفاتورة، قدموا معلومات خاطئة أيضًا، مما جعل الموظف ينتقل إلى النوع الثالث من أساليب المصادقة، والذي يطلب من المتصل مكالماته الأخيرة.
ومن خلال هذه الطريقة تمكن الباحثون بنجاح من استكمال عملية مبادلة بطاقة الاتصال، وبالإضافة إلى ذلك، فقد فحص الباحثون 140 خدمة إلكترونية على الإنترنت تستخدم مصادقة الهاتف لمعرفة ما يمكن للمهاجمين فعله بالأرقام التي يختطفونها.
وحللوا أي منها تتيح للمهاجمين مبادلة بطاقة الاتصال لاختطاف حساب مستخدم، وتمكنوا بسهولة من إعادة تعيين كلمات المرور في 17 من هذه الخدمات باستخدام بطاقات اتصال مختطفة فقط، حيث لم يتم طرح أسئلة مصادقة إضافية.