Twitter hat entschieden, seine Zwei-Faktor-Authentifizierung (2FA) mit SMS-Login zu deaktivieren, weil diese von Betrügern missbraucht würden. Wer diese weiterhin nutzen will, muss blechen.

Twitter has decided to deactivate its two-factor authentication (2FA) with SMS login because it is being abused by fraudsters. Anyone who wants to continue using it will have to pay.

Twitter hat unter der Ägide von Elon Musk einige seltsame Entscheidung getroffen. Viele Sicherheitsexperten haben das Unternehmen verlassen. Jetzt wird die Sicherheit weiter eingeschränkt und Zwei-Faktor-Authentisierung (2FA) wird kostenpflichtig. Paul Ducklin, Principal Research Scientist, Sophos, beleuchtet die Entscheidung von Twitter:

„Die Änderung der Zwei-Faktor-Authentisierung (2FA) bei Twitter kommt überraschend: Da Textmeldungen zu unsicher seien, um 2FA durchzuführen, müsse man für diesen Service bei dem sozialen Netzwerk in Zukunft bezahlen. Ab wann genau die Nutzer (nur diejenigen, die nicht den zahlungspflichtigen Twitter Blue-Dienst verwenden) mit dieser Umstellung rechnen müssen, wird nicht so ganz deutlich.

Twitter selbst hat den Nutzern von SMS-basierter 2FA mit seiner Verkündung am 15. Februar „30 Tage Zeit zur Deaktivierung dieser Methode und Anmeldung einer neuen“ gegeben. Fest steht: nach dem 20. März wird die 2FA-Methode via SMS für Konten, die noch aktiviert sind, deaktiviert.

Warum wird die SMS für die 2FA als unsicher angesehen?

Twitter hat entschieden, dass einmalige Sicherheitscodes, die via SMS verschickt werden, nicht mehr sicher sind, da sie der Erfahrung nach bereits missbräuchlich verwendet wurden.

Der Haupteinwand gegen SMS-basierte 2FA ist, dass Cyberkriminelle schlichtweg Mitarbeiter von Mobilfunkunternehmen austricksen, überreden oder bestechen, damit sie ihnen Ersatz-SIM-Karten aushändigen, die mit der Telefonnummer einer anderen Person programmiert sind. Legales Ersetzen einer verlorenen, kaputten oder gestohlenen SIM-Karte ist natürlich ein wünschenswerter Service des Mobilfunknetzwerkes, sonst müsste man bei jeder neuen SIM auch immer die Telefonnummer ändern

Nachdem Betrüger aber mit geschickten Social Engineering-Fähigkeiten die Telefonnummern von Bürgern „übernommen“ haben – normalerweise, um deren 2FA-Codes abgreifen zu können – sank das Ranking der Textnachricht als sichere 2FA-Quelle.

Diese kriminelle Art des „SIM-Swapping“ ist in Wahrheit aber gar kein Tausch, denn eine SIM-Karte kann nur mit einer einzigen Telefonnummer programmiert werden. Wenn also ein Mobilfunkunternehmen eine SIM-Karte austauscht, dann findet hier kein Wechsel statt, sondern, die alte SIM-Karte ist tot und funktioniert nicht mehr.

Für den Nutzer, der seine eigen SIM-Karte austauscht, weil sein Handy gestohlen wurde, ist das eine sehr nützliche Sicherheitsfunktion, da er so seine eigene Nummer zurückerhält und der Dieb nicht auf seine Kosten telefonieren oder Nachrichten und Anrufe abhören kann. Aber: wenn die SIM-Karte illegal in Betrügerhände gerät, wird diese Funktion gleich zweifach gefährlich. Kriminelle erhalten dann die Nachrichten, die für den Nutzer bestimmt sind, inklusive Login-Codes und der Nutzer kann sein eigenes Telefon nicht verwenden, um das Problem zu melden.

Geht es bei diesem Verbot wirklich um Sicherheit?

Geht es Twitter wirklich um Sicherheit oder nur um eine Verschlankung seiner IT, indem es die versendeten Textnachrichten reduziert? Es ist verwunderlich, dass nicht alle Nutzer von der SMS-basierten 2FA hin zu einer sichereren Methode geleitet werden, sondern nur diejenigen, die nicht den kostenpflichtigen Twitter Blue-Dienst verwenden. Diese dürfen weiterhin die SMS-Methode nutzen.“

SIM-Swapping ist für Cyberkriminelle mit einigem Aufwand verbunden und daher keine Massenware. Immerhin müssen sie ihre Anonymität verlassen und physisch in einem Mobilfunkgeschäft versuchen, eine bestimmte Nummer zu bekommen. Diese Art des Betrugs ist geplant und zielgerichtet für ein ganz bestimmtes Konto, für das die Kriminellen bereits Benutzernamen und Kennwort haben, und bei dem sie annehmen, dass der Wert des Kontos das Risiko, ertappt zu werden, übersteigt. Daher raten wir: Wenn man sich für den Twitter Blue Dienst entscheidet, sollte man keine SMS-basierte 2FA mehr verwenden, selbst wenn man dazu berechtigt ist.

Das sollten Twitter-Nutzer jetzt tun:

 Wer Twitter-Blue-Mitglied ist oder jetzt werden will, sollte sich von der SMS-basierten 2FA verabschieden. Denn wenn diese Methode für die große Anzahl der nicht Blue- Nutzer sicherheitsbedenklich ist, dann natürlich auch für die kleinere Gruppe der Blue-Mitglieder.

  • Wer kein Blue-Anwender mit aktivierter SMS-2FA ist, sollte zur App-basierten 2FA wechseln. Auf keinen Fall die 2FA auslaufen lassen und zur veralteten Passwort-Authentifizierung zurückkehren. Schließlich hat der Nutzer erst einmal die unbequeme Hürde zur 2FA genommen und sollte jetzt auch an der Sicherheitsfront vorn dabeibleiben.
  • Wer Twitter zur 2FA-Bestimmung seine Telefonnummer gegeben hat, sollte diese nun löschen, da das Unternehmen das nicht selbst automatisch macht.
  • Nutzer von App-basierter Authentifikation sollten sich bewusst machen, dass ihre 2FA Codes nicht sicherer gegen Phishing sind als eine SMS. App-basierte 2FA Codes sind allerdings generell durch den Sperrcode des Telefons geschützt und können nicht auf dem Telefon einer anderen Person berechnet werden – selbst, wenn diese die Nutzer-SIM-Karte ins Handy legt.
  • Anwender sollten hellhörig werden, wenn das Telefon unerwartet den Mobilfunkdienst verliert. Hier sollten sie nachforschen, ob die SIM-Karte ausgetauscht wurde. Selbst wenn Nutzer das Telefon nicht für 2FA-Codes verwenden, kann ein Betrüger, der die Kontrolle über die Telefonnummer des Opfers hat, trotzdem Nachrichten in seinem Namen senden und empfangen sowie Anrufe tätigen oder annehmen – und das alles, während er vorgibt, das Opfer zu sein. Wenn der Verdacht einer Übernahme besteht, sollte der Nutzer seinen Mobilfunkanbieter kontaktieren oder am besten persönlich in einem Mobilfunkgeschäft vorstellig werden, inklusive Ausweis und Kontobelegen.
  • Wer noch keinen PIN-Code auf seiner SIM-Karte eingerichtet hat, sollte das jetzt tun. Ein Dieb, der das Telefon stiehlt, wird es wahrscheinlich nicht entsperren können. Er könnte aber die SIM-Karte herausnehmen, in ein anderes Gerät einlegen und Anrufe und Nachrichten übernehmen. Die PIN für die SIM-Karte muss man nur beim Neustart oder nach dem Ausschalten eingeben.

Noch ein kurzer Nachtrag zum Wechsel auf die App-basierter 2FA: Diese ist von ihren Schritten nicht wesentlich aufwändiger als die Legitimation via SMS: denn auch hier muss man das Handy in die Hand nehmen, den Code aber statt als Textnachricht von der App ablesen. Also kein größerer Aufwand, aber mit hoher Wirkkraft.

 

Twitter has made some strange decisions under the aegis of Elon Musk. Many security experts have left the company. Now security is being cut further and 2FA is affected. Paul Ducklin, Principal Research Scientist, Sophos, sheds light on Twitter’s decision:

„Twitter has announced an intriguing change to its 2FA (two-factor authentication) system.

The change will take effect in about a month’s time, and can be summarised very simply in the following short piece of doggerel:

Using texts is insecure

for doing 2FA,

So if you want to keep it up

you’re going to have to pay.

We said “about a month’s time” above because Twitter’s announcement is somewhat ambiguous with its dates-and-days calculations.

The product announcement bulletin, dated 2023-02-15, says that users with text-message (SMS) based 2FA “have 30 days to disable this method and enroll in another”.

If you include the day of the announcement in that 30-day period, this implies that SMS-based 2FA will be discontinued on Thursday 2023-03-16.

If you assume that the 30-day window starts at the beginning of the next full day, you’d expect SMS 2FA to stop on Friday 2023-03-17.

However, the bulletin says that “after 20 March 2023, we will no longer permit non-Twitter Blue subscribers to use text messages as a 2FA method. At that time, accounts with text message 2FA still enabled will have it disabled.”

If that’s strictly correct, then SMS-based 2FA ends at the start of Tuesday 21 March 2022 (in an undisclosed timezone), though our advice is to take the shortest possible interpretation so you don’t get caught out.

SMS considered insecure

Simply put, Twitter has decided, as Reddit did a few years ago, that one-time security codes sent via SMS are no longer safe, because “unfortunately we have seen phone-number based 2FA be used – and abused – by bad actors.”

The primary objection to SMS-based 2FA codes is that determined cybercriminals have learned how to trick, cajole or simply to bribe employees in mobile phone companies to give them replacement SIM cards programmed with someone else’s phone number.

Legitimately replacing a lost, broken or stolen SIM card is obviously a desirable feature of the mobile phone network, otherwise you’d have to get a new phone number every time you changed SIM.

But the apparent ease with which some crooks have learned the social engineering skills to “take over” other people’s numbers, usually with the very specific aim of getting at their 2FA login codes, has led to bad publicity for text messages as a source of 2FA secrets.

This sort of criminality is known in the jargon as SIM-swapping, but it’s not strictly any sort of swap, given that a phone number can only be programmed into one SIM card at a time.

So, when the mobile phone company “swaps” a SIM, it’s actually an outright replacement, because the old SIM goes dead and won’t work any more.

Of course, if you’re replacing your own SIM because your phone got stolen, that’s a great security feature, because it restores your number to you, and ensures that the thief can’t make calls on your dime, or listen in to your messages and calls.

But if the tables are turned, and the crooks are taking over your SIM card illegally, this “feature” turns into a double liability, because the criminals start receiving your messages, including your login codes, and you can’t use your own phone to report the problem!

Is this really about security?

Is this change really about security, or is it simply Twitter aiming to simplify its IT operations and save money by cutting down on the number of text messages it needs to send?

We suspect that if the company really were serious about retiring SMS-based login authentication, it would impel all its users to switch to what it considers more secure forms of 2FA.

Ironically, however, users who pay for the Twitter Blue service, a group that seems to include high-profile or popular users whose accounts we suspect are much more attractive targets for cybercriminals…

…will be allowed to keep using the very 2FA process that’s not considered secure enough for everyone else.

SIM-swapping attacks are difficult for criminals to pull off in bulk, because a SIM swap often involves sending a “mule” (a cybergang member or “affiliate” who is willing or desperate enough to risk showing up in person to conduct a cybercrime) into a mobile phone shop, perhaps with fake ID, to try to get hold of a specific number.

In other words, SIM-swapping attacks often seem to be premeditated, planned and targeted, based on an account for which the criminals already know the username and password, and where they think that the value of the account they’re going to take over is worth the time, effort and risk of getting caught in the act.

So, if you do decide to go for Twitter Blue, we suggest that you don’t carry on using SMS-based 2FA, even though you’ll be allowed to, because you’ll just be joining a smaller pool of tastier targets for SIM-swapping cybergangs to attack.

Another important aspect of Twitter’s announcement is that although the company is no longer willing to send you 2FA codes via SMS for free, and cites security concerns as a reason, it won’t be deleting your phone number once it stops texting you.

Even though Twitter will no longer need your number, and even though you may have originally provided it on the understanding that it would be used specificially for the purpose of improving login security, you’ll need to remember to go in and delete it yourself.

What to do?

  • If you already are, or plan to become, a Twitter Blue member,consider switching away from SMS-based 2FA anyway. As mentioned above, SIM-swapping attacks tend to be targeted, because they’re tricky to do in bulk. So, if SMS-based login codes aren’t safe enough for the rest of Twitter, they’ll be even less safe for you once you’re part of a smaller, more select group of users.
  • If you are a non-Blue Twitter user with SMS 2FA turned on,consider switching to app-based 2FA instead. Please don’t simply let your 2FA lapse and go back to plain old password authentication if you’re one of the security-conscious minority who has already decided to accept the modest inconvenience of 2FA into your digital life. Stay out in front as a cybersecurity trend-setter!
  • If you gave Twitter your phone number specifically for 2FA messages,don’t forget to go and remove it. Twitter won’t be deleting any stored phone numbers automatically.
  • If you’re already using app-based authentication,remember that your 2FA codes are no more secure than SMS messages against phishing. App-based 2FA codes are generally protected by your phone’s lock code (because the code sequence is based on a “seed” number stored securely on your phone), and can’t be calculated on someone else’s phone, even if they put your SIM into their device. But if you accidentally reveal your latest login code by typing it into a fake website along with your password, you’ve given the crooks all they need anyway, whether that code came from an app or via a text message.
  • If your phone loses mobile service unexpectedly,investigate promptly in case you’ve been SIM-swapped. Even if you aren’t using your phone for 2FA codes, a crook who’s got control over your number can neverthless send and receive messages in your name, and can make and answer calls while pretending to be you. Be prepared to show up at a mobile phone store in person, and take your ID and account receipts with you if you can.
  • If haven’t set a PIN code on your phone SIM,consider doing so now. A thief who steals your phone probably won’t be able to unlock it, assuming you’ve set a decent lock code. Don’t make it easy for them simply to eject your SIM and insert it into another device to take over your calls and messages. You’ll only need to enter the PIN when you reboot your phone or power it up after turning it off, so the effort involved is minimal.

By the way, if you’re comfortable with SMS-based 2FA, and are worried that app-based 2FA is sufficiently “different” that it will be hard to master, remember that app-based 2FA codes generally require a phone too, so your login workflow doesn’t change much at all.

Instead of unlocking your phone, waiting for a code to arrive in a text message, and then typing that code into your browser…

…you unlock your phone, open your authenticator app, read off the code from there, and type that into your browser instead. (The numbers typically change every 30 seconds so they can’t be re-used.)“

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner