1 poin oleh GN⁺ 2024-04-16 | 1 komentar | Bagikan ke WhatsApp
  • Karyawan T-Mobile di seluruh Amerika Serikat menerima pesan ajakan ilegal untuk memindahkan lini pelanggan ke SIM milik penyerang
  • Pesan ajakan menawarkan 300 dolar AS per kasus dan kontak via Telegram, serta menggunakan nomor pengirim dari berbagai kode area sehingga sulit diblokir
  • Pesan tersebut menyebut bahwa nomor karyawan diperoleh dari “T-Mo employee directory”, dan targetnya mencakup bukan hanya karyawan aktif tetapi juga mantan karyawan yang keluar beberapa bulan sebelumnya
  • T-Mobile menjawab bahwa tidak ada pelanggaran sistem, tetapi sedang menyelidiki pesan yang mendorong tindakan ilegal tersebut; kasus serupa juga dilaporkan di operator nirkabel lain
  • Pelanggan perlu mengurangi ketergantungan pada autentikasi dua faktor berbasis SMS dan menurunkan risiko pengambilalihan akun dengan mengaktifkan aplikasi autentikator serta SIM protection

Ajakan SIM swapping yang dikirim langsung ke karyawan

  • SIM swapping adalah metode ketika penyerang memindahkan lini telepon korban ke SIM yang mereka miliki, lalu mencegat kode autentikasi dua faktor yang dikirim ke korban untuk mengakses akun online
  • Korban dapat kehilangan uang dari rekening bank atau dompet kripto
  • Menurut beberapa unggahan Reddit dan laporan terpisah, karyawan T-Mobile di seluruh AS menerima pesan yang menawarkan uang tunai sebagai imbalan melakukan SIM swapping
  • Pesan ajakan menawarkan 300 dolar AS untuk setiap SIM swapping dan meminta penerima menghubungi lewat Telegram
  • Nomor pengirim berganti-ganti memakai berbagai nomor dari beberapa kode area, sehingga sulit dicegah hanya dengan memblokir nomor tertentu

Sumber kontak karyawan dan ada tidaknya pelanggaran

  • Pesan tersebut menyebut bahwa nomor telepon karyawan diperoleh dari “T-Mo employee directory”
    • Jika klaim ini benar, ada kemungkinan direktori karyawan T-Mobile yang berisi kontak telah diakses dengan suatu cara
    • Mantan karyawan yang keluar beberapa bulan sebelumnya juga termasuk target, sehingga kecil kemungkinan penyerang saat ini memiliki akses data secara real-time
  • Belum dapat dipastikan dari mana nomor karyawan berasal
    • Berdasarkan komentar online, sebagian karyawan pihak ketiga tampaknya terdampak
    • Telah dikonfirmasi secara terpisah bahwa karyawan corporate T-Mobile saat ini juga menerima pesan tersebut
    • Sulit untuk menyimpulkan bahwa sumbernya sama dengan data bocor terkait Connectivity Source pada September 2023
    • Namun kemungkinan itu tidak dapat dikesampingkan
  • PR T-Mobile menjawab bahwa “tidak ada pelanggaran sistem”
    • Perusahaan terus menyelidiki pesan yang dikirim untuk mendorong tindakan ilegal
    • Operator nirkabel lain juga melaporkan pesan serupa

Risiko yang dapat dikurangi pelanggan

  • Fakta bahwa pelaku kriminal masih memandang SIM swapping sebagai sarana serangan yang menguntungkan tetap menjadi sumber kekhawatiran bagi pelanggan
  • Jika sebagian karyawan menerima tawaran uang cepat, akun dan dana pelanggan dapat langsung terancam
  • Langkah yang dapat diambil pelanggan:
    • Jangan menjadikan autentikasi dua faktor layanan online berbasis SMS
    • Gunakan aplikasi autentikator seperti Google Authenticator atau Authy
    • Jika bank atau layanan dompet kripto hanya menyediakan SMS sebagai autentikasi dua faktor, pertimbangkan untuk pindah ke layanan lain
    • Aktifkan SIM protection di akun T-Mobile

1 komentar

 
GN⁺ 2024-04-16
Komentar Hacker News
  • Bukankah T-Mobile bisa mengirim SMS internal sendiri seolah-olah menaikkan imbalan untuk karyawan menjadi 600 dolar, lalu memecat karyawan yang membalas?
    Atau mungkin mereka bisa mengubah ketentuan diskon lini karyawan agar perusahaan dapat memantau isi SMS atau metadata untuk mendeteksi ancaman keamanan terhadap pengguna perusahaan

    • T-Mobile memang bisa melakukan banyak hal, tetapi pertama-tama harus memastikan dulu mengapa mereka perlu peduli
      Saya tidak tahu apakah berpura-pura menawarkan imbalan untuk SIM swap itu legal, tetapi itu masalah sekunder; saya juga tidak melihat banyak bukti bahwa T-Mobile pernah peduli pada hal seperti ini di masa lalu
    • Ada banyak hal yang bisa dilakukan: 1) mewajibkan 2 karyawan dan operator telepon bersama-sama untuk perubahan SIM, 2) menelepon nomor yang akan diubah dan memastikan penerimanya tahu tentang pemindahan nomor, 3) memberi masa tunggu 24 jam sebelum perubahan sambil mencoba menghubungi pengguna nomor tersebut, dan 4) memberikan hadiah besar 10 ribu dolar atau lebih jika seseorang memberikan bukti bahwa rekan kerjanya menerima suap
    • Mengirim pemberitahuan saja bahwa membalas tawaran seperti ini bisa berujung pemecatan pun dapat menyelesaikan sebagian masalah
    • Bisa juga dengan membayar gaji yang cukup sehingga mereka tidak tergoda sejak awal
  • Serangan SIM swap yang melibatkan “orang dalam” itu sendiri bukan hal baru. Ponsel T-Mobile milik teman dekat saya juga kena dengan cara ini pada Maret 2020
    Inti berita kali ini adalah bertemunya kebocoran data dan SIM swap. Para penjahat menggunakan nomor telepon karyawan yang termasuk dalam kebocoran data T-Mobile terbaru untuk menghubungi banyak karyawan sekaligus lewat SMS, menawarkan 300 dolar per kasus
    Dulu caranya adalah membangun orang dalam lewat koneksi pribadi atau melamar langsung agar diterima bekerja, tetapi dengan adanya data yang bocor, proses ini bisa diotomatisasi dan diperbesar skalanya

    • Cara untuk menyerang kelemahan di sini adalah menyebarkan tawaran honeypot palsu. Kelemahan rencana ini ada pada kurangnya kepercayaan dan anonimitas yang berlaku di kedua sisi
      Dengan kata lain, “cara lama” bukan hanya menumbuhkan orang dalam, tetapi juga mencakup proses agar orang dalam dapat memercayai pemberi tugas
    • Setahu saya, di dunia kripto hal seperti ini sudah terus terjadi sejak awal 2018
    • Saya heran mengapa orang mau mempertaruhkan pekerjaan hanya demi 300 dolar
    • Dalam kasus saya, saya kena pada akhir 2000-an, mungkin sekitar 2008
  • Apa solusinya di sini? Apakah realistis melarang staf toko offline memindahkan nomor telepon pelanggan ke SIM baru? Kalau pelanggan bilang ponselnya hilang atau dicuri, apa yang harus dilakukan?
    Idealnya harus ada verifikasi bahwa pelanggan benar-benar hadir di lokasi dan identitasnya sudah diperiksa, tetapi di AS tidak ada semacam kartu identitas yang digunakan secara universal, jadi saya tidak tahu bagaimana caranya. Saya juga berpendapat orang harus tetap bisa mendapatkan nomor telepon tanpa identitas, dan dalam kasus seperti itu verifikasi jadi terhambat
    Masalahnya adalah ponsel pada dasarnya telah menjadi root of trust bagi kehidupan digital kita. Passkey yang tertanam di sistem operasi itu bagus karena mendorong masalah ini keluar dari operator, tetapi masalah mendasarnya tetap ada. Membangun kepercayaan dari awal itu sulit

    • Solusinya adalah tidak menyerahkan hak akses kehidupan digital kepada operator
      Dalam “pelanggan benar-benar hadir di lokasi dan identitasnya sudah diperiksa”, lokasi itu maksudnya di mana? MVNO saya tidak punya cabang. Kalaupun ada cabang, kenapa saya harus pergi ke sana? Saya bahkan sebisa mungkin tidak pergi ke cabang bank
    • Di AS pun, kebijakan yang mewajibkan kartu identitas berfoto terbitan pemerintah untuk berbagai tujuan verifikasi identitas sama sekali bukan hal langka. Setahu saya, semua negara bagian punya kartu identitas yang bisa diterbitkan secara umum. Biasanya tidak gratis, tetapi siapa pun bisa mendapatkannya
    • Solusi mudahnya adalah tidak memakai SMS untuk pemulihan kata sandi
      SMS mungkin boleh untuk autentikasi dua faktor, tetapi harus selalu menjadi faktor kedua. “Lupa kata sandi” → kode SMS → kata sandi baru pada dasarnya adalah autentikasi 1 faktor. Menggunakan SMS sebagai satu-satunya faktor itu benar-benar buruk
    • Mewajibkan PIN pada akun sebelum perubahan SIM atau tindakan lain tampaknya cukup berguna sebagai penghalang masuk
      Dengan begitu, karyawan korup memerlukan informasi tambahan yang tidak ia miliki untuk menjalankan perubahan SIM
    • Penundaan waktu sederhana saja dapat menyelesaikan 99% kasus
      Perubahan hanya boleh dilakukan jika SIM terputus dari jaringan seluler selama 48 jam; jika tidak terputus, kirim telepon atau SMS ke SIM lama untuk memastikan apakah pengguna benar-benar menginginkan perubahan
  • Saya bekerja di industri kripto dan sering melihat SIM swap. Biasanya dipakai untuk mengambil alih akun Twitter tokoh terkenal, lalu memposting tautan phishing untuk mencuri koin dari pengikutnya. Di bidang ini, T-Mobile sejauh ini paling sering disebut, dan kebanyakan korban katanya memakai T-Mobile, jadi ini sudah berlangsung sejak lama
    Masalah besar lain pada keamanan Twitter adalah akun tetap bisa direbut meskipun memakai autentikasi dua faktor yang bukan SMS. Jika ada nomor telepon di akun, nomor itu dipakai sebagai sarana pemulihan dan sepenuhnya melewati autentikasi dua faktor. Celah keamanan ini sudah ada bertahun-tahun, tetapi belum juga diperbaiki

    • Hampir semua layanan yang kini mendukung autentikasi dua faktor memiliki kerentanan pemulihan ini
      Sangat sedikit situs yang memungkinkan kita tidak memberikan nomor telepon sama sekali, atau setidaknya tidak menggunakannya sebagai sarana pemulihan
      Penguncian waktu sederhana saja akan sangat membantu. Misalnya, pemulihan autentikasi “dua” faktor berbasis kata sandi sekali pakai SMS hanya dapat dilakukan setelah 24 jam, sambil mengirim banyak peringatan “seseorang yang mungkin bukan Anda sedang mencoba memulihkan akun” dan menyediakan cara bagi pemilik akun yang sah untuk menghentikannya
    • Banyak situs memiliki cacat yang pada praktiknya mengubah autentikasi dua faktor SMS menjadi autentikasi 1 faktor. Yang dibutuhkan hanya nomor telepon
      Jika ini juga diizinkan saat memakai autentikasi dua faktor non-SMS, dampaknya lebih buruk dan 100% meniadakan tujuan penggunaan autentikasi dua faktor alternatif
  • Sulit dipercaya kata sandi sekali pakai lewat SMS masih begitu sering digunakan. Ini fakta yang sudah diketahui publik, dan hanya mengubah jalur serangan lama menjadi jalur serangan yang lebih buruk
    Membobol kata sandi atau menembus basis data terenkripsi itu 10 kali lebih sulit daripada berhasil melakukan SIM swap

    • Membobol kata sandi yang bagus memang sulit, tetapi banyak orang tidak memakai kata sandi yang bagus, atau memasukkannya tanpa banyak berpikir ke formulir web phishing mana pun
      Kode dua faktor berbatas waktu bisa ditembus lewat SIM swap atau phishing tertarget, tetapi ini lebih jarang dibanding kampanye phishing berbasis spam yang masif
      Bukan berarti saya suka autentikasi dua faktor via SMS; saya benar-benar membencinya
    • Bank saya baru-baru ini menambahkan fitur yang menghapus SMS dari opsi autentikasi dua faktor dan mewajibkan TOTP
      Sekarang saya berharap mereka menambahkan WebAuthn. Meski begitu, TOTP yang dipakai bersama pengelola kata sandi bawaan browser cukup aman dari phishing, karena jika autofill tidak muncul, kita bisa curiga
    • Mudah, gratis bagi pelanggan, dan pengalaman penggunanya juga paling sederhana berkat fitur seperti “code autofill” di iPhone
      SIM swap hanya terjadi pada sangat sedikit orang, jadi dari sudut pandang pihak terkait, upayanya tidak terlalu sepadan. Saya juga tidak suka, tetapi begitulah kenyataannya
    • Namun begitu berhasil sekali, banyak akun bisa ditembus sekaligus
      Saat ini semua yang hanya berbasis nama pengguna dan kata sandi seharusnya digantikan oleh passkey. Masalah yang tidak diselesaikan passkey adalah autentikasi dua faktor dan pemulihan akun
    • Secara ketat, itu bukan “pengganti”. Sebelum kata sandi sekali pakai SMS, yang ada hanya kata sandi
      Kata sandi + kata sandi sekali pakai SMS, seburuk apa pun metode SMS-nya, tetap lebih baik dengan sendirinya
  • Sepertinya FCC menerapkan aturan baru untuk mencegah SIM swap, dan kabarnya mulai berlaku pada 8 Juli 2024. Namun dari siaran persnya saja, belum jelas apakah aturan itu bisa melindungi pelanggan ketika pegawai operator adalah pelaku jahat
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • Bukan bercanda, saya rasa akan ada pasarnya jika ada operator seluler yang meminta sampel DNA saat melakukan perubahan
    DNA bisa diambil secara bersamaan dari berbagai sumber seperti darah, air liur, dan kuku yang dipilih acak, lalu di-hash agar penyedia tidak menyimpan string DNA itu sendiri. DNA sendiri bukan sesuatu seperti UUID, jadi perlu sedikit inovasi, tetapi menurut saya mungkin. Para VIP akan membayar layanan ini, dan bisa juga ditawarkan asuransi terbatas untuk kerugian akibat peretasan
    Sebagai tambahan, dalam salah satu episode “Forensic Files” ada tersangka yang menyuntikkan sampel darah orang lain ke tubuhnya sendiri untuk menghindari tes DNA atas tuduhan pemerkosaan. Jadi saya mengakui metode DNA juga bisa diserang. Karena itulah dibutuhkan beberapa sampel acak

    • Pemindaian iris seperti Worldcoin milik Sam Altman juga mungkin bisa dilakukan
  • Kita benar-benar membutuhkan standar yang lebih baik untuk autentikasi multifaktor. Mungkin perlu ada definisi hukum untuk autentikasi multifaktor, dan SMS harus diklasifikasikan sebagai autentikasi dua langkah yang setara dengan email
    Menurut saya autentikasi multifaktor yang sebenarnya harus dibatasi pada Yubikey atau perangkat berbasis sertifikat perangkat keras lainnya. Selain itu, jika suatu metode hanya mendukung satu token, seharusnya tidak boleh diiklankan sebagai autentikasi multifaktor

  • Ini bukan sekadar masalah SIM atau T-Mobile
    Sebagian besar agen layanan pelanggan dibayar sangat rendah, dan khususnya di negara lain, tidak sulit menemukan orang yang mau melakukan tindakan tertentu untuk uang yang kecil menurut standar Barat. Agen layanan pelanggan sering memiliki wewenang besar dan akses ke informasi sensitif, sementara kontrol aksesnya longgar
    Sekalipun masalah SMS dan autentikasi multifaktor diselesaikan, penyerang akan menyerang titik terlemah berikutnya

    • Ini alasan lain untuk usulan saya agar dibuat undang-undang bahwa semua layanan pelanggan yang melayani pelanggan AS harus berlokasi di Amerika Serikat, Inggris, Irlandia, Kanada, Australia, atau Selandia Baru
    • Meski begitu, idealnya titik lemah berikutnya harus jauh lebih aman daripada pegawai bergaji rendah yang rentan secara ekonomi
      Setahu saya, autentikasi dua faktor SMS adalah yang paling mudah ditembus dari semua metode. Setidaknya untuk email, penyerang perlu kata sandi terlebih dahulu, dan dalam beberapa kasus juga harus melewati autentikasi dua faktor terpisah
  • Satu ide yang tampaknya sederhana: sediakan opsi pilihan agar nomor pada akun hanya bisa dipindahkan ke SIM baru ketika SIM saat ini sedang offline menurut jaringan menara seluler
    Layanan pelanggan juga bisa dibuat tidak dapat melewati batasan ini
    Jika seseorang mencuri ponsel, mereka mungkin akan secepat mungkin mengaktifkan mode pesawat untuk menghindari activation lock. Jika ponsel jatuh ke laut atau terlempar ke bawah tebing, kemungkinan besar tidak akan berfungsi lama. Jika khawatir ponsel hilang tetapi tetap menyala dan tidak bisa ditemukan, jangan aktifkan opsi ini

    • Cukup kirim pesan ke kartu SIM: “Apakah Anda ingin memindahkannya?”
      Jika tidak ada respons, nomor dipindahkan setelah 48 jam; jika menjawab “ya”, langsung dipindahkan. Jika menjawab “tidak”, orang yang meminta pemindahan harus menjawab beberapa pertanyaan
    • Bisa juga mengirim permintaan konfirmasi ke nomor saat ini dan menerapkan masa tunggu. Jika pengguna bisa memilih sendiri masa tunggu sebelumnya, ini dapat mencegah seseorang mengambil alih nomor ketika mengetahui pengguna sedang berada dalam penerbangan
      Misalnya, jika ponsel hilang dan mungkin berada di suatu tempat di pinggir jalan sehingga tidak bisa merespons, nomor akan dipindahkan sekitar 8 jam setelah tidak ada respons atas permintaan konfirmasi
    • Fitur perlindungan SIM opsional sudah ada. Jika kartu SIM dikunci, nomor tidak dapat dipindahkan sampai kuncinya dibuka