Originalartikel von Zhengyu Dong, Ryan Flores, Vladimir Kropotov, Paul Pajares, Fyodor Yarochkin
Die Verifizierung per SMS (Short Message Service) bei der Registrierung für viele Online-Dienste – von kleinen Verkaufsplattformen bis zu multinationalen Organisationen, die kritische Dienstleistungen anbieten – ist zur Standardauthentifizierung geworden. Bestätigungscodes werden von Anbietern von Einmalpasswörtern (One Time Password, OTP) per SMS verschickt und als Teil des Zweifaktor-Authentifizierungsprozesses (2FA) verwendet. Die Plattformen gehen davon aus, dass die SMS-Verifizierung ausreicht, um die „Ein-Konto-pro-Person-pro-Smartphone“-Regel zu gewährleisten und Fake-Personen oder Bots von ihren Plattformen fern zu halten. Tatsächlich betrachten viele IT-Abteilungen weltweit die SMS-Verifizierung als „sicheres“ Validierungsinstrument für Benutzerkonten. In den letzten Jahren haben nun die Anbieter von Diensten für SMS-verifizierte Konten (Phone Verified Accounts, PVA) im Internet zugenommen, wobei Mobilnummern zum Zweck der Erstellung von Konten verkauft werden. Diese Art von Service nutzen Cyberkriminelle dafür, um massenhaft Wegwerfkonten zu registrieren oder telefonverifizierte Konten zu erstellen, um Betrug oder andere kriminelle Aktivitäten durchzuführen. Wir haben die Straftaten und Aktionen aufgezeigt, die durch solche Dienste ermöglicht werden, sowie die Auswirkungen dieser Dienste auf die Integrität der SMS-Kontoverifizierung.
Weiterlesen →