Home적합체육관 전화 도난 피해자는 각각 $10,000를 잃습니다(SMS 2FA 때문에)

체육관 전화 도난 피해자는 각각 $10,000를 잃습니다(SMS 2FA 때문에)

체육관 사물함 도난 사건 SMS 기반의 2단계 인증(2FA)이 완전하다는 것을 상기시키고 있습니다. 전적인 쓰레기. 한 사기꾼이 전화와 직불/ATM 카드를 훔쳐 런던에서 큰 돈을 모으는 데 사용하고 있습니다.

피해자는 모두 여성, 영국 경찰이 도둑도 마찬가지라고 생각하게 만듭니다. 하지만 어떻게 작동합니까? 어떻게 자신을 보호할 수 있습니까?

사기를 풀자. 오늘의 SB Blogwatch에서 우리는 펌핑됩니다.

귀하의 겸손한 블로그 관찰자가 귀하의 엔터테인먼트를 위해 이러한 블로그 비트를 큐레이팅했습니다. 말할 것도 없이: 애도하는 고양이.

SMS 2FA: 저리 가세요

Avast! 크랙은 무엇입니까? Shari Vahl이 보고합니다.

휴대전화 설정
각 사례의 유사점은 놀랍습니다. 여성 피해자는 인기 있는 체육관 체인의 사물함에 자신의 소지품을 넣었다가 돌아와서 휴대폰과 카드를 가져간 것을 발견했습니다. 같은 상점에서 많은 고가 구매가 이루어졌습니다. 도둑은 또한 패스트 푸드 식사를 제공합니다.

물론 비밀번호와 얼굴 또는 지문 잠금 해제를 사용하여 전화기에 액세스할 수 없게 만들 수 있습니다. … 그러나 도둑에게는 이러한 기본 안전 프로토콜을 우회하는 방법이 있습니다. 휴대전화와 카드만 있으면 자신의 휴대전화나 컴퓨터에서 해당 은행의 앱에 카드를 등록한다. 카드가 새 장치에서 처음 사용되는 것이므로 일회용 보안 암호가 필요합니다. 해당 인증 암호는 은행에서 도난당한 전화로 전송됩니다. 잠금 화면에서 코드가 깜박입니다.

가장 중요한 팁은 휴대폰과 카드를 절대 함께 두지 말고 카드를 휴대폰 케이스에 절대 보관하지 않는 것입니다. … 그 외에, 중지하는 가장 좋은 방법은 … 이 특정 방법은 은행에서 보낸 인증 코드를 읽을 수 없도록 하는 것입니다. 이것은 휴대 전화의 설정에서 수행됩니다 [so] 휴대전화가 잠겨 있으면 더 이상 메시지가 표시되지 않습니다.

나쁜 꿈인 것 같습니다. 다음은 Lydia Chantler-Hicks의 “체육관 도둑이 수천 명을 훔치는 것”입니다.

악몽 경험
교묘한 사기로 인해 여성들은 [$14,000] 운동하는 동안 은행 계좌에서 평생 저축한 돈이 빠져나갑니다. … 여자 탈의실을 반복적으로 드나들며 의심의 여지 없이 접근할 수 있다는 점에서 도둑은 여성일 가능성이 높다고 생각된다.

샬롯이라는 한 여성은 재정적으로나 정신적으로 “파손”된 “악몽” 경험에 대해 말했습니다. … 누군가 그녀의 사물함에 침입하여 전화, 은행 카드, 열쇠가 들어 있는 배낭을 훔쳐갔습니다. 그런 다음 도둑은 그녀의 … 온라인 뱅킹 세부 정보를 재설정하고 “호루라기 중지” 쇼핑을 계속하기 전에 평생 저축에서 현재 계정으로 수천 달러를 이체했습니다.

샬롯 누구? 샬롯 모건—@MorganBroadcast—은행의 반응에 만족하지 않습니다.

피해자를 비난
괴롭고 답답한 한 주를 보낸 후, 나에게 일어난 일(당신에게도 일어날 수 있는 일)에 대해 솔직하게 이야기해야 합니다. … 그리고 나는 혼자가 아닙니다. 다른 두 개 이상 [gym] 멤버들은 또한 사물함을 부수고 소지품을 도난당했습니다. 우리는 모두 전화기, 돈, 열쇠가 없습니다.

우리는 전례 없는 규모와 속도로 심각하게 조직되고 정교하며 계산된 사기에 대해 이야기하고 있습니다. 피해자를 탓하며 무시하는 것은 답이 될 수 없다. … 내가 태만했거나 사기를 쳤다는 것을 증명하는 것은 공급자에게 달려 있습니다. 그들은 할 수 없습니다. 내 PIN이 사용되었다고 해서 구매를 승인했다는 의미는 아닙니다. [It] 게으르고 화를 내지 않습니다.

확인 코드? 그들은 우리의 오래된 적 SMS 2FA에 대해 이야기하고 있습니다. Nextgrid는 이것이 얼마나 단순한지 상기시켜 줍니다.

SMS 2FA는 SMS로 시간 제한이 있는 비밀을 보내고 사용자가 다시 돌려주는지 확인합니다.

무엇을 할 수 혹시 잘못? Christine Dodrill, Cadey 및 Cendyne은 “유해한 것으로 간주되는 2단계 인증”에 대해 설명합니다.

지금은 2022년이고 이것은 여전히 ​​문제입니다
SMS 기반 2단계 인증과 같은 것이 얼마나 엉망인지에 대해 시작하지 마십시오. 그들은 백엔드에서 OTP 코드를 사용하지만 공격자가 해당 코드를 가로채도록 하기 위해 지원이 피싱될 가능성이 가장 높은 하나의 통신사 채널을 통해 전송합니다. 엉망이야.

지금은 2022년이고 이것은 여전히 ​​문제입니다. 모두가 여전히 SMS OTP를 사용하고 있기 때문에 많은 사용자와 개발자가 이것이 안전한 구현이라고 생각할 수 있다고 생각합니다.

엉망? slutty는 더 강력하게 표현합니다.

보안 극장
[It] 완전히 쓰레기이며 실제 보안이 필요한 응용 프로그램에서 사용해서는 안됩니다. 코드가 전송되면 깨진 것입니다.

2FA가 작동하는 방식은 코드와 암호에 액세스할 수 있는 유일한 사람이라는 것입니다. 예를 들어 Google Auth 앱이나 정보를 제공할 필요가 없는 다른(덜 사용되는) 오픈 소스 대안이 있습니다. … 분명히 피해자의 은행이 SMS 기반의 ‘인증’을 사용한다는 사실은 어떤 식으로든 형태나 형태가 안전하지 않기 때문에 보안 극장입니다.

그러나 사기는 어떻게 작동합니까? 여전히 카드의 PIN이 필요합니까? (영국에서는 Chip+PIN을 사용하기 때문입니다.) jamescocker는 해킹을 재현하려고 했습니다.

완전한 통제하에있는
나도 이것에 대해 궁금해서 잠긴 전화와 지갑이 있다고 상상하면서 내 카드의 PIN을 확보하는 데 필요한 것이 무엇인지 확인하기로 결정했습니다. … 간단히 말해서, [my bank’s app] 요청:
• [Routing] 코드 및 계정 번호(실제 카드)
• 성명(실제 카드)
• 생년월일(에 [license] 지갑에서)
• SMS를 통한 6자리 코드(iPhone 기본값은 “미리보기 표시”임)
• 전화 통화를 통한 4자리 코드(전화 잠금 해제 필요 없음)

이를 통해 다음을 수행할 수 있었습니다.
• 온라인 뱅킹 사용자 이름 검색
• 온라인 뱅킹 비밀번호 재설정
• 인터넷뱅킹 ‘기억정보’ 재설정
[Now] 나는 … 카드의 PIN 표시를 포함하여 모든 권한을 가집니다.

하지만 OTP가 표시되지 않더라도 도둑이 SIM을 다른 전화로 옮길 수 있습니다. u/ramakitty는 다음과 같이 조언합니다.

그렇기 때문에 [also] SIM PIN을 설정하는 것이 중요합니다.

한편, fopenn은 또 다른 보안 계층을 제안합니다.

iPhone을 끄면 카메라 또는 잠금 화면에 텍스트 표시를 포함한 모든 기능에 암호가 필요합니다. 따라서 휴대 전화를 아무데나 두는 경우에는 휴대 전화를 끄십시오.

그리고 마지막으로:

여왕의 장례식을 지켜보는 일본 고양이

이전에 그리고 마지막으로


당신은 읽고있다 SB 블로그워치 리치 제닝스. Richi는 최고의 블로깅 비트, 최고의 포럼 및 가장 이상한 웹사이트를 큐레이팅하므로 사용자가 그럴 필요가 없습니다. 증오 메일은 다음 주소로 전달될 수 있습니다. @리치 또는 [email protected]. 읽기 전에 의사에게 문의하십시오. 귀하의 마일리지가 다를 수 있습니다. E&OE. 30.

이미지 소스: Bruce Mars(Unsplash를 통해, 수평 조정 및 잘림)


최신 기사

더 탐색