Karyawan T-Mobile di Seluruh AS Ditawari Uang Tunai untuk Melakukan SIM Swapping Ilegal
(tmo.report)- Karyawan T-Mobile di seluruh Amerika Serikat menerima pesan ajakan ilegal untuk memindahkan lini pelanggan ke SIM milik penyerang
- Pesan ajakan menawarkan 300 dolar AS per kasus dan kontak via Telegram, serta menggunakan nomor pengirim dari berbagai kode area sehingga sulit diblokir
- Pesan tersebut menyebut bahwa nomor karyawan diperoleh dari “T-Mo employee directory”, dan targetnya mencakup bukan hanya karyawan aktif tetapi juga mantan karyawan yang keluar beberapa bulan sebelumnya
- T-Mobile menjawab bahwa tidak ada pelanggaran sistem, tetapi sedang menyelidiki pesan yang mendorong tindakan ilegal tersebut; kasus serupa juga dilaporkan di operator nirkabel lain
- Pelanggan perlu mengurangi ketergantungan pada autentikasi dua faktor berbasis SMS dan menurunkan risiko pengambilalihan akun dengan mengaktifkan aplikasi autentikator serta SIM protection
Ajakan SIM swapping yang dikirim langsung ke karyawan
- SIM swapping adalah metode ketika penyerang memindahkan lini telepon korban ke SIM yang mereka miliki, lalu mencegat kode autentikasi dua faktor yang dikirim ke korban untuk mengakses akun online
- Korban dapat kehilangan uang dari rekening bank atau dompet kripto
- Menurut beberapa unggahan Reddit dan laporan terpisah, karyawan T-Mobile di seluruh AS menerima pesan yang menawarkan uang tunai sebagai imbalan melakukan SIM swapping
- Pesan ajakan menawarkan 300 dolar AS untuk setiap SIM swapping dan meminta penerima menghubungi lewat Telegram
- Nomor pengirim berganti-ganti memakai berbagai nomor dari beberapa kode area, sehingga sulit dicegah hanya dengan memblokir nomor tertentu
Sumber kontak karyawan dan ada tidaknya pelanggaran
- Pesan tersebut menyebut bahwa nomor telepon karyawan diperoleh dari “T-Mo employee directory”
- Jika klaim ini benar, ada kemungkinan direktori karyawan T-Mobile yang berisi kontak telah diakses dengan suatu cara
- Mantan karyawan yang keluar beberapa bulan sebelumnya juga termasuk target, sehingga kecil kemungkinan penyerang saat ini memiliki akses data secara real-time
- Belum dapat dipastikan dari mana nomor karyawan berasal
- Berdasarkan komentar online, sebagian karyawan pihak ketiga tampaknya terdampak
- Telah dikonfirmasi secara terpisah bahwa karyawan corporate T-Mobile saat ini juga menerima pesan tersebut
- Sulit untuk menyimpulkan bahwa sumbernya sama dengan data bocor terkait Connectivity Source pada September 2023
- Namun kemungkinan itu tidak dapat dikesampingkan
- PR T-Mobile menjawab bahwa “tidak ada pelanggaran sistem”
- Perusahaan terus menyelidiki pesan yang dikirim untuk mendorong tindakan ilegal
- Operator nirkabel lain juga melaporkan pesan serupa
Risiko yang dapat dikurangi pelanggan
- Fakta bahwa pelaku kriminal masih memandang SIM swapping sebagai sarana serangan yang menguntungkan tetap menjadi sumber kekhawatiran bagi pelanggan
- Jika sebagian karyawan menerima tawaran uang cepat, akun dan dana pelanggan dapat langsung terancam
- Langkah yang dapat diambil pelanggan:
- Jangan menjadikan autentikasi dua faktor layanan online berbasis SMS
- Gunakan aplikasi autentikator seperti Google Authenticator atau Authy
- Jika bank atau layanan dompet kripto hanya menyediakan SMS sebagai autentikasi dua faktor, pertimbangkan untuk pindah ke layanan lain
- Aktifkan SIM protection di akun T-Mobile
1 komentar
Komentar Hacker News
Bukankah T-Mobile bisa mengirim SMS internal sendiri seolah-olah menaikkan imbalan untuk karyawan menjadi 600 dolar, lalu memecat karyawan yang membalas?
Atau mungkin mereka bisa mengubah ketentuan diskon lini karyawan agar perusahaan dapat memantau isi SMS atau metadata untuk mendeteksi ancaman keamanan terhadap pengguna perusahaan
Saya tidak tahu apakah berpura-pura menawarkan imbalan untuk SIM swap itu legal, tetapi itu masalah sekunder; saya juga tidak melihat banyak bukti bahwa T-Mobile pernah peduli pada hal seperti ini di masa lalu
Serangan SIM swap yang melibatkan “orang dalam” itu sendiri bukan hal baru. Ponsel T-Mobile milik teman dekat saya juga kena dengan cara ini pada Maret 2020
Inti berita kali ini adalah bertemunya kebocoran data dan SIM swap. Para penjahat menggunakan nomor telepon karyawan yang termasuk dalam kebocoran data T-Mobile terbaru untuk menghubungi banyak karyawan sekaligus lewat SMS, menawarkan 300 dolar per kasus
Dulu caranya adalah membangun orang dalam lewat koneksi pribadi atau melamar langsung agar diterima bekerja, tetapi dengan adanya data yang bocor, proses ini bisa diotomatisasi dan diperbesar skalanya
Dengan kata lain, “cara lama” bukan hanya menumbuhkan orang dalam, tetapi juga mencakup proses agar orang dalam dapat memercayai pemberi tugas
Apa solusinya di sini? Apakah realistis melarang staf toko offline memindahkan nomor telepon pelanggan ke SIM baru? Kalau pelanggan bilang ponselnya hilang atau dicuri, apa yang harus dilakukan?
Idealnya harus ada verifikasi bahwa pelanggan benar-benar hadir di lokasi dan identitasnya sudah diperiksa, tetapi di AS tidak ada semacam kartu identitas yang digunakan secara universal, jadi saya tidak tahu bagaimana caranya. Saya juga berpendapat orang harus tetap bisa mendapatkan nomor telepon tanpa identitas, dan dalam kasus seperti itu verifikasi jadi terhambat
Masalahnya adalah ponsel pada dasarnya telah menjadi root of trust bagi kehidupan digital kita. Passkey yang tertanam di sistem operasi itu bagus karena mendorong masalah ini keluar dari operator, tetapi masalah mendasarnya tetap ada. Membangun kepercayaan dari awal itu sulit
Dalam “pelanggan benar-benar hadir di lokasi dan identitasnya sudah diperiksa”, lokasi itu maksudnya di mana? MVNO saya tidak punya cabang. Kalaupun ada cabang, kenapa saya harus pergi ke sana? Saya bahkan sebisa mungkin tidak pergi ke cabang bank
SMS mungkin boleh untuk autentikasi dua faktor, tetapi harus selalu menjadi faktor kedua. “Lupa kata sandi” → kode SMS → kata sandi baru pada dasarnya adalah autentikasi 1 faktor. Menggunakan SMS sebagai satu-satunya faktor itu benar-benar buruk
Dengan begitu, karyawan korup memerlukan informasi tambahan yang tidak ia miliki untuk menjalankan perubahan SIM
Perubahan hanya boleh dilakukan jika SIM terputus dari jaringan seluler selama 48 jam; jika tidak terputus, kirim telepon atau SMS ke SIM lama untuk memastikan apakah pengguna benar-benar menginginkan perubahan
Saya bekerja di industri kripto dan sering melihat SIM swap. Biasanya dipakai untuk mengambil alih akun Twitter tokoh terkenal, lalu memposting tautan phishing untuk mencuri koin dari pengikutnya. Di bidang ini, T-Mobile sejauh ini paling sering disebut, dan kebanyakan korban katanya memakai T-Mobile, jadi ini sudah berlangsung sejak lama
Masalah besar lain pada keamanan Twitter adalah akun tetap bisa direbut meskipun memakai autentikasi dua faktor yang bukan SMS. Jika ada nomor telepon di akun, nomor itu dipakai sebagai sarana pemulihan dan sepenuhnya melewati autentikasi dua faktor. Celah keamanan ini sudah ada bertahun-tahun, tetapi belum juga diperbaiki
Sangat sedikit situs yang memungkinkan kita tidak memberikan nomor telepon sama sekali, atau setidaknya tidak menggunakannya sebagai sarana pemulihan
Penguncian waktu sederhana saja akan sangat membantu. Misalnya, pemulihan autentikasi “dua” faktor berbasis kata sandi sekali pakai SMS hanya dapat dilakukan setelah 24 jam, sambil mengirim banyak peringatan “seseorang yang mungkin bukan Anda sedang mencoba memulihkan akun” dan menyediakan cara bagi pemilik akun yang sah untuk menghentikannya
Jika ini juga diizinkan saat memakai autentikasi dua faktor non-SMS, dampaknya lebih buruk dan 100% meniadakan tujuan penggunaan autentikasi dua faktor alternatif
Sulit dipercaya kata sandi sekali pakai lewat SMS masih begitu sering digunakan. Ini fakta yang sudah diketahui publik, dan hanya mengubah jalur serangan lama menjadi jalur serangan yang lebih buruk
Membobol kata sandi atau menembus basis data terenkripsi itu 10 kali lebih sulit daripada berhasil melakukan SIM swap
Kode dua faktor berbatas waktu bisa ditembus lewat SIM swap atau phishing tertarget, tetapi ini lebih jarang dibanding kampanye phishing berbasis spam yang masif
Bukan berarti saya suka autentikasi dua faktor via SMS; saya benar-benar membencinya
Sekarang saya berharap mereka menambahkan WebAuthn. Meski begitu, TOTP yang dipakai bersama pengelola kata sandi bawaan browser cukup aman dari phishing, karena jika autofill tidak muncul, kita bisa curiga
SIM swap hanya terjadi pada sangat sedikit orang, jadi dari sudut pandang pihak terkait, upayanya tidak terlalu sepadan. Saya juga tidak suka, tetapi begitulah kenyataannya
Saat ini semua yang hanya berbasis nama pengguna dan kata sandi seharusnya digantikan oleh passkey. Masalah yang tidak diselesaikan passkey adalah autentikasi dua faktor dan pemulihan akun
Kata sandi + kata sandi sekali pakai SMS, seburuk apa pun metode SMS-nya, tetap lebih baik dengan sendirinya
Sepertinya FCC menerapkan aturan baru untuk mencegah SIM swap, dan kabarnya mulai berlaku pada 8 Juli 2024. Namun dari siaran persnya saja, belum jelas apakah aturan itu bisa melindungi pelanggan ketika pegawai operator adalah pelaku jahat
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
Bukan bercanda, saya rasa akan ada pasarnya jika ada operator seluler yang meminta sampel DNA saat melakukan perubahan
DNA bisa diambil secara bersamaan dari berbagai sumber seperti darah, air liur, dan kuku yang dipilih acak, lalu di-hash agar penyedia tidak menyimpan string DNA itu sendiri. DNA sendiri bukan sesuatu seperti UUID, jadi perlu sedikit inovasi, tetapi menurut saya mungkin. Para VIP akan membayar layanan ini, dan bisa juga ditawarkan asuransi terbatas untuk kerugian akibat peretasan
Sebagai tambahan, dalam salah satu episode “Forensic Files” ada tersangka yang menyuntikkan sampel darah orang lain ke tubuhnya sendiri untuk menghindari tes DNA atas tuduhan pemerkosaan. Jadi saya mengakui metode DNA juga bisa diserang. Karena itulah dibutuhkan beberapa sampel acak
Kita benar-benar membutuhkan standar yang lebih baik untuk autentikasi multifaktor. Mungkin perlu ada definisi hukum untuk autentikasi multifaktor, dan SMS harus diklasifikasikan sebagai autentikasi dua langkah yang setara dengan email
Menurut saya autentikasi multifaktor yang sebenarnya harus dibatasi pada Yubikey atau perangkat berbasis sertifikat perangkat keras lainnya. Selain itu, jika suatu metode hanya mendukung satu token, seharusnya tidak boleh diiklankan sebagai autentikasi multifaktor
Secara realistis, iPhone Keychain tampaknya mendekati batasnya, dan itu pun sampai tingkat tertentu bergantung pada keamanan perangkat keras
https://passkeys.dev/
https://passkeys.directory/
Ini bukan sekadar masalah SIM atau T-Mobile
Sebagian besar agen layanan pelanggan dibayar sangat rendah, dan khususnya di negara lain, tidak sulit menemukan orang yang mau melakukan tindakan tertentu untuk uang yang kecil menurut standar Barat. Agen layanan pelanggan sering memiliki wewenang besar dan akses ke informasi sensitif, sementara kontrol aksesnya longgar
Sekalipun masalah SMS dan autentikasi multifaktor diselesaikan, penyerang akan menyerang titik terlemah berikutnya
Setahu saya, autentikasi dua faktor SMS adalah yang paling mudah ditembus dari semua metode. Setidaknya untuk email, penyerang perlu kata sandi terlebih dahulu, dan dalam beberapa kasus juga harus melewati autentikasi dua faktor terpisah
Satu ide yang tampaknya sederhana: sediakan opsi pilihan agar nomor pada akun hanya bisa dipindahkan ke SIM baru ketika SIM saat ini sedang offline menurut jaringan menara seluler
Layanan pelanggan juga bisa dibuat tidak dapat melewati batasan ini
Jika seseorang mencuri ponsel, mereka mungkin akan secepat mungkin mengaktifkan mode pesawat untuk menghindari activation lock. Jika ponsel jatuh ke laut atau terlempar ke bawah tebing, kemungkinan besar tidak akan berfungsi lama. Jika khawatir ponsel hilang tetapi tetap menyala dan tidak bisa ditemukan, jangan aktifkan opsi ini
Jika tidak ada respons, nomor dipindahkan setelah 48 jam; jika menjawab “ya”, langsung dipindahkan. Jika menjawab “tidak”, orang yang meminta pemindahan harus menjawab beberapa pertanyaan
Misalnya, jika ponsel hilang dan mungkin berada di suatu tempat di pinggir jalan sehingga tidak bisa merespons, nomor akan dipindahkan sekitar 8 jam setelah tidak ada respons atas permintaan konfirmasi