Peneliti Ungkap Bahaya Nomor Ponsel Daur Ulang

Cyberthreat.id – Peneliti memperingatkan ancaman keamanan dan privasi pada nomor ponsel daur ulang, termasuk ancaman pengambilalihan akun, serangan phishing dan spam, bahkan mencegah korban mendaftar ke layanan online.

Dikutip dari The Hacker News yang diakses Sabtu (8 Mei 2021), studi ini dilakukan dengan menganalisis sampel 259 nomor telepon yang tersedia untuk pelanggan baru perusahaan telekomunikasi AS T-Mobile dan Verizon Wireless.

Dilakukan oleh Kevin Lee dari Universitas Princeton dan Prof Arvind Narayanan dari Pusat Kebijakan Teknologi Informasi di kampus itu, hampir 66% dari nomor daur ulang yang diambil sampelnya ditemukan terkait dengan akun online pemilik sebelumnya di situs web populer. Inilah yang membuat munculnya potensi pembajakan akun hanya dengan memulihkan akun yang terhubung dengan nomor itu.

“Penyerang dapat menelusuri nomor yang tersedia yang ditampilkan pada antarmuka perubahan nomor online dan memeriksa apakah ada yang terkait dengan akun online pemilik sebelumnya. Jika penyerang kemudian dapat memperoleh nomor-nomor ini dan mengatur ulang kata sandi pada akun, dan menerima dan memasukkan OTP yang dikirim melalui SMS dengan benar saat login,” ungkap kedua peneliti tersebut.

Menurut para peneliti, daur ulang nomor telepon mengacu pada praktik standar dalam menetapkan kembali nomor telepon yang terputus ke pelanggan baru dari operator tersebut. Menurut Federal Communications Commission (FCC), diperkirakan 35 juta nomor telepon terputus setiap tahun di Amerika Serikat, yang dapat menimbulkan bahaya serius ketika penyerang melakukan pencarian terbalik dengan memasukkan nomor tersebut secara acak di antarmuka online yang ditawarkan oleh kedua operator. Stelah menemukan nomor daur ulang, membelinya, akhirnya pelaku berhasil masuk ke akun korban yang sebelumnya memakai nomor itu.

“Inti dari strategi serangan adalah kurangnya batas kueri untuk nomor yang tersedia yang diberlakukan oleh operator pada antarmuka prabayar mereka untuk mengubah nomor, selain menampilkan nomor lengkap, yang memberi penyerang kemampuan untuk menemukan nomor daur ulang sebelum mengonfirmasi perubahan umur.”

Terlebih lagi, 100 sampel nomor telepon diidentifikasi terkait dengan alamat email termasuk dalam pelanggaran data di masa lalu, sehingga memungkinkan pembajakan akun jenis kedua yang menghindari otentikasi multi-faktor berbasis SMS. Dalam serangan ketiga, 171 dari 259 nomor yang tersedia terdaftar di layanan pencarian orang seperti BeenVerified, dan dalam prosesnya, membocorkan informasi pribadi sensitif dari pemilik sebelumnya.

“Setelah mendapatkan nomor pemilik sebelumnya, mereka dapat melakukan serangan peniruan identitas untuk melakukan penipuan atau bahkan mengumpulkan lebih banyak informasi pribadi pemilik sebelumnya.”

Di luar tiga serangan reverse lookup yang disebutkan di atas, masih ada ancaman tambahan yang dapat terjadi. Misalnya, penjahat siber dapat menyamar sebagai pemilik sebelumnya, membajak akun telepon online korban dan akun online terkait lainnya, dan lebih buruk lagi dapat melakukan serangan DOS.

“Penyerang memperoleh nomor, mendaftar ke layanan online yang membutuhkan nomor telepon, dan merilis nomor tersebut. Ketika korban mendapatkan nomor tersebut dan mencoba untuk mendaftar ke layanan yang sama, mereka akan ditolak karena akun yang ada. Penyerang dapat menghubungi korban melalui SMS dan meminta pembayaran untuk mengambil alih nomor di platform.”

Terkait serangan tersebut T-Mobile mengatakan telah memperbarui halaman dukungan mengubah nomor telepon, dengan informasi yang mengingatkan pengguna untuk memperbarui nomor kontak pengguna di setiap akun yang mungkin menyimpan nomor, seperti pemberitahuan untuk rekening bank, media sosial, dll, dan menentukan periode usia 45 hari yang diamanatkan FCC untuk memungkinkan penugasan ulang nomor lama.

Verizon juga telah melakukan perubahan serupa pada halaman dukungan untuk mengelola layanan seluler Verizon. Tetapi tak satu pun dari operator tersebut tampaknya telah membuat perubahan konkret yang membuat serangan lebih sulit untuk dilakukan.

Penelitian ini adalah bukti lain mengapa otentikasi berbasis SMS adalah metode yang berisiko, karena serangan yang diuraikan di atas dapat memungkinkan musuh membajak akun berkemampuan SMS 2FA tanpa harus mengetahui kata sandinya.

“Jika Anda harus menyerahkan nomor Anda, putuskan tautannya dari layanan online terlebih dahulu. Gunakan alternatif yang lebih aman untuk SMS-2FA seperti aplikasi pengautentikasi,” kata peneliti.[]