בפעם הקודמת פרצו לחשבון יוטיוב, וככל הנראה היה מדובר ב-Infostealer שהותקן באחד מהמחשבים שהיה לו גישה לחשבון ניהול ראשי.
והייתה גם לזו פעם קודמת:
במקרה הזה השתמשו ב-SIM Swap. זו הזדמנות להזכיר לכם - אל תשתמשו במספר טלפון שלכם - במיוחד אם הוא ידוע (וגם אם לא) - כ-2FA, במיוחד כאשר הוא משתמש לשחזור.
כרגע לא ברור איך הצליחו להשיג גישה לחשבון X, ג’ון המונד מרמז ל-Infostealer.
החשבון X של LTT כרגע מנוטרל והסקאמים שרצו דרכם הופסקו.
פש הבחור פריץ. אז בעצם גנבו לו את הסיסמה לחשבון דרך פישינג ואת המספר טלפון דרך הספקית?
לא כזה הבנתי את הקונספט של SIM Swap זה בעצם גניבת המספר כאשר התוקף מבקש לנייד את המספר שלך מהספקית? הוא צריך עוד פרטים מזהים כמו ID וספרות אחרונות של אמצעי תשלום או משהו כזה לא?
ואם אתה לא ממליץ להשתמש במספר האישי כאמצעי שחזור אז מה כן? להחזיק סים נוסף רק עבור שחזורים? ושאתה אומר 2FA מבוסס חומרה אתה מתכוון למשהו כמו Yubico? ואם כן רוב האתרים תומכים בדבר כזה? (כמו גוגל, פייסבוק וכו’)
להבנתי, הכל התבצע דרך פישינג, הוא הכניס את הססמה וה-2FA, ואז קיבלת שגיאה ג’נרית מהתוקף שמיהר להשתמש בקוד 2FA שקיבלת מהקורבן והתחבר לו לחשבון. יכול להיות שגם היה איזשהו שימוש ב-Relay Proxy (לדוגמה Evilgnix [1]), בשביל לאפשר אוטומציה של המתקפה.
יש המון סיפורים על איך SIM swapping מתבצע, החל מלגנוב לנציג את הטאבלט שיש לו הרשאות לבצע שיוך, עד Social Engineering של הנציב וכלה בנציגים שקיבלו שוחד כספי עבור ביצוע השיוך. בסופו של דבר מדובר בשיוך המספר לסים בשליטה שלך, מה שמאפשר לך לקבל את כל השיחות והמסרונים של הקורבן, ובכך להשיג גישה לחשבונות שהמספר מוגדר בהם כאמצעי שחזור.
Security Token (מפתחות פיזיים כגון Yubikey), תעודות PKI (Smart cards) ו-Passkey הם כנראה האמצעיים הכי בטוחים ושהכי קשה - בלתי אפשרי לבצע עליהם MITM. אני ממליץ על אמצעי חומרה שתומך ב-FIDO2, U2F או מבוסס על PKI (smart card).
