Esses cartões SIM ilícitos estão facilitando hacks como o do Twitter

Da próxima vez que seu telefone tocar e o ID de chamadas disser que é seu banco, empresa de telecomunicações ou departamento de TI do seu empregador, pode ser outra pessoa.

Isso porque tipos pouco discutidos de cartões SIM oferecem a capacidade de falsificar qualquer número, podem ser criptografados e, em alguns casos, permitem que a voz do usuário seja alterada e camuflada. Esses cartões SIM sãofavorecido por criminosos, e podem tornar mais fáceis de executar ataques de engenharia social como os que atingiram o Twitter no mês passado.

Um cartão SIM (Módulo de Identidade do Assinante) é essencialmente o que armazena informações sobre o usuário de um telefone, incluindo país, operadora e uma ideia única que o associa ao seu proprietário.

Embora falsificar um número de telefone seja um truque antigo, esses SIMs oferecem uma maneira simplificada de fazer isso. Eles ressaltam a ampla gama de vulnerabilidades que empresas e indivíduos enfrentam ao tentar se proteger contra ataques de engenharia social.

O Twitter foi ovítima de um ataque de spear-phishing por telefone, em que uma pessoa se passando por um insider da empresa (geralmente supostamente do departamento de TI) liga para um funcionário real para extrair informações. Esse ataque, que levou à aquisição de 130 contas, incluindo algumas de alto perfil como ELON Musk e Kanye West, para enganar seus seguidores e roubar US$ 120.000 em Bitcoin, trouxe maior atenção à prática. Ferramentas como esses SIMs são uma maneira de os invasores tentarem ficar à frente de empresas suspeitas.

Veja também:' Cripto Instagram' está se tornando uma coisa, com golpes e tudo

“Outras empresas podem ser um alvo mais fácil para essas mesmas técnicas”, disse Allison Nixon, diretora de pesquisa da Unit221B, uma empresa de segurança cibernética. “E elas simplesmente não estarão preparadas da mesma forma que as empresas de telecomunicações marcadas pela batalha estiveram.”

Na verdade, desde o hack do Twitter, houvesupostamente houve um aumento nos ataques de spear-phishing em empresas, indivíduos e bolsas de Criptomoeda .

SIMs brancos

Os cartões são conhecidos como SIMs brancos, devido à sua cor e à ausência de marca.

“SIMs brancos tornam extremamente fácil conduzir chamadas falsas de saída”, disse Hartej Sawhney, diretor da agência de segurança cibernética Zokyo. “Eles são ilegais basicamente em todos os lugares.”

Dada a ampla gama de serviços que os SIMs como esses oferecem, eles tornam a engenharia social um pouco mais fácil, e às vezes é tudo o que um invasor precisa. Os SIMs geralmente podem ser comprados noDark Web ou sites relacionados, usando Bitcoin.

A engenharia social geralmente depende de um invasor enganando alguém para fazer algo que ele ou ela T deveria. Pode parecer tão simples quanto um ataque de phishing, mas também pode envolver meios mais elaborados, como troca de SIM, falsificação de voz ou conversas telefônicas extensas, tudo para obter acesso às informações ou dados de alguém.

Veja também:Estudante pega pena de 10 anos de prisão por roubo de Cripto com SIM-Swap no valor de US$ 7,5 milhões

Durante anos, a comunidade de Criptomoeda tem sido a alvo de trocas de SIM, um subconjunto da engenharia social. Envolve um invasor enganando um funcionário de uma empresa de telecomunicações para portar o número da vítima para o dispositivo do invasor, o que permite que ele ignore as proteções de autenticação de dois fatores para uma conta de troca ou perfil de mídia social.

“Chamadas falsas são uma falha na camada de protocolo e não são algo que pode ser corrigido da noite para o dia. Elas exigem essencialmente a reescrita da internet”, disse Sawhney. “O que é interessante notar é que 99% dos funcionários de telecomunicações têm acesso a todas as contas de clientes, o que significa que você só precisa fazer engenharia social em uma delas.”

Esses SIMs apresentam desafios para aqueles que trabalham na proteção contra engenharia social, incluindo bancos e outras instituições financeiras.

Um negócio como qualquer outro

Os invasores de engenharia social escolhem seus alvos avaliando o dinheiro, o tempo e o esforço necessários para enganá-los em relação ao retorno, disse Paul Walsh, CEO da empresa de segurança cibernética MetaCert.

“É mais fácil, mais barato e mais rápido comprometer uma pessoa por meio de engenharia social do que tentar tirar vantagem de um computador ou rede de computadores”, disse Walsh. “Então, quaisquer ferramentas ou processos como esses que tornam esse trabalho mais rápido e fácil para eles são obviamente bons, aos olhos deles.”

A capacidade de imitar um número de telefone específico é o que torna esses SIMs perigosos. Por exemplo, os chamadores de spam geralmente falsificam seus números para fazer parecer que estão ligando de umnúmero na área local do destinatário. Mas esses cartões SIM permitem que um invasor falsifique um número específico, tornando mais provável que alguém atenda o telefone.

Veja também:Um novo hack ultrassônico pode explorar sua Siri

Uma pessoa com um SIM de falsificação de número poderia facilmente imitar o número do Bank of America, por exemplo, disse Walsh, tornando mais provável que as pessoas dessem informações pessoais sensíveis. Se o número aparecer como Bank of America, por que você teria razão para pensar imediatamente o contrário?

Walsh também disse que muitos sistemas detectam automaticamente o número de onde você está ligando e usam isso como uma informação para verificar sua identidade.

“Então você liga para o seu banco e se puder confirmar com seu número de telefone e talvez uma outra informação, você ganha acesso a todos os tipos de informações, como seu saldo bancário e última transação”, disse Walsh. “Essa informação sozinha pode ser útil no contexto de engenharia social, ligando para o banco sem informações adicionais que você precisa para atingir alguém, e adquirindo-as através do banco.”

Tecnologia de imitação de voz a caminho

O que preocupa Haseeb Awan, CEO da Efani, uma empresa que trabalha especificamente para proteger contra hacks de SIM, é a maneira como esses SIMs podem ser usados ​​com outras tecnologias, como falsificação de voz. A Tecnologia que pode ser usada para recriar a voz de alguém é facilmente disponível online, e as vozes das pessoas podem ser reconstruídas a partir de apenas alguns trechos de fala.

“Se você for capaz de replicar a voz de qualquer pessoa e juntar isso ao número de telefone dela, é isso que começa a me preocupar mais”, disse Awan. “Muitas empresas agora estão usando sua voz como um método de autenticação, então é aqui que o risco de fraude vai ficar realmente alto.”

Veja também:Hackers norte-coreanos intensificam esforços para roubar Cripto em meio à pandemia de coronavírus

E enquanto a maioria das pessoas pode pensar que seria capaz de dizer se a voz de alguém foi alterada, ou soou estranha, Awan, que nasceu no Paquistão, mas mora nos EUA, é QUICK em apontar que a tecnologia ficou tão boa que ele a viu capaz de replicar seu sotaque. Na verdade, um estudo descobrimos que nossos cérebros não conseguem diferenciar uma voz falsa de uma ONE, mesmo quando nos dizem que será falsa.

Ao contrário dos SIMs brancos quase universalmente ilegais, os SIMs anônimos criptografados que também alteram sua voz em tempo real podem ser facilmente comprados abertamente. Por exemplo, a empresa do Reino UnidoSims seguros,que não respondeu a um Request de comentário até o momento, oferece um para venda que desabilita sua localização e criptografa dados, entre uma variedade de outros recursos.

Está listado para venda por £ 600-£ 1.000 ($ 794- $ 1.322).