Twitter hat entschieden, seine Zwei-Faktor-Authentifizierung (2FA) mit SMS-Login zu deaktivieren, weil diese von Betrügern missbraucht würden. Wer diese weiterhin nutzen will, muss blechen. |
Twitter has decided to deactivate its two-factor authentication (2FA) with SMS login because it is being abused by fraudsters. Anyone who wants to continue using it will have to pay. |
---|---|
Twitter hat unter der Ägide von Elon Musk einige seltsame Entscheidung getroffen. Viele Sicherheitsexperten haben das Unternehmen verlassen. Jetzt wird die Sicherheit weiter eingeschränkt und Zwei-Faktor-Authentisierung (2FA) wird kostenpflichtig. Paul Ducklin, Principal Research Scientist, Sophos, beleuchtet die Entscheidung von Twitter:
„Die Änderung der Zwei-Faktor-Authentisierung (2FA) bei Twitter kommt überraschend: Da Textmeldungen zu unsicher seien, um 2FA durchzuführen, müsse man für diesen Service bei dem sozialen Netzwerk in Zukunft bezahlen. Ab wann genau die Nutzer (nur diejenigen, die nicht den zahlungspflichtigen Twitter Blue-Dienst verwenden) mit dieser Umstellung rechnen müssen, wird nicht so ganz deutlich. Twitter selbst hat den Nutzern von SMS-basierter 2FA mit seiner Verkündung am 15. Februar „30 Tage Zeit zur Deaktivierung dieser Methode und Anmeldung einer neuen“ gegeben. Fest steht: nach dem 20. März wird die 2FA-Methode via SMS für Konten, die noch aktiviert sind, deaktiviert. Warum wird die SMS für die 2FA als unsicher angesehen? Twitter hat entschieden, dass einmalige Sicherheitscodes, die via SMS verschickt werden, nicht mehr sicher sind, da sie der Erfahrung nach bereits missbräuchlich verwendet wurden. Der Haupteinwand gegen SMS-basierte 2FA ist, dass Cyberkriminelle schlichtweg Mitarbeiter von Mobilfunkunternehmen austricksen, überreden oder bestechen, damit sie ihnen Ersatz-SIM-Karten aushändigen, die mit der Telefonnummer einer anderen Person programmiert sind. Legales Ersetzen einer verlorenen, kaputten oder gestohlenen SIM-Karte ist natürlich ein wünschenswerter Service des Mobilfunknetzwerkes, sonst müsste man bei jeder neuen SIM auch immer die Telefonnummer ändern Nachdem Betrüger aber mit geschickten Social Engineering-Fähigkeiten die Telefonnummern von Bürgern „übernommen“ haben – normalerweise, um deren 2FA-Codes abgreifen zu können – sank das Ranking der Textnachricht als sichere 2FA-Quelle. Diese kriminelle Art des „SIM-Swapping“ ist in Wahrheit aber gar kein Tausch, denn eine SIM-Karte kann nur mit einer einzigen Telefonnummer programmiert werden. Wenn also ein Mobilfunkunternehmen eine SIM-Karte austauscht, dann findet hier kein Wechsel statt, sondern, die alte SIM-Karte ist tot und funktioniert nicht mehr. Für den Nutzer, der seine eigen SIM-Karte austauscht, weil sein Handy gestohlen wurde, ist das eine sehr nützliche Sicherheitsfunktion, da er so seine eigene Nummer zurückerhält und der Dieb nicht auf seine Kosten telefonieren oder Nachrichten und Anrufe abhören kann. Aber: wenn die SIM-Karte illegal in Betrügerhände gerät, wird diese Funktion gleich zweifach gefährlich. Kriminelle erhalten dann die Nachrichten, die für den Nutzer bestimmt sind, inklusive Login-Codes und der Nutzer kann sein eigenes Telefon nicht verwenden, um das Problem zu melden. Geht es bei diesem Verbot wirklich um Sicherheit? Geht es Twitter wirklich um Sicherheit oder nur um eine Verschlankung seiner IT, indem es die versendeten Textnachrichten reduziert? Es ist verwunderlich, dass nicht alle Nutzer von der SMS-basierten 2FA hin zu einer sichereren Methode geleitet werden, sondern nur diejenigen, die nicht den kostenpflichtigen Twitter Blue-Dienst verwenden. Diese dürfen weiterhin die SMS-Methode nutzen.“ SIM-Swapping ist für Cyberkriminelle mit einigem Aufwand verbunden und daher keine Massenware. Immerhin müssen sie ihre Anonymität verlassen und physisch in einem Mobilfunkgeschäft versuchen, eine bestimmte Nummer zu bekommen. Diese Art des Betrugs ist geplant und zielgerichtet für ein ganz bestimmtes Konto, für das die Kriminellen bereits Benutzernamen und Kennwort haben, und bei dem sie annehmen, dass der Wert des Kontos das Risiko, ertappt zu werden, übersteigt. Daher raten wir: Wenn man sich für den Twitter Blue Dienst entscheidet, sollte man keine SMS-basierte 2FA mehr verwenden, selbst wenn man dazu berechtigt ist. Das sollten Twitter-Nutzer jetzt tun: Wer Twitter-Blue-Mitglied ist oder jetzt werden will, sollte sich von der SMS-basierten 2FA verabschieden. Denn wenn diese Methode für die große Anzahl der nicht Blue- Nutzer sicherheitsbedenklich ist, dann natürlich auch für die kleinere Gruppe der Blue-Mitglieder.
Noch ein kurzer Nachtrag zum Wechsel auf die App-basierter 2FA: Diese ist von ihren Schritten nicht wesentlich aufwändiger als die Legitimation via SMS: denn auch hier muss man das Handy in die Hand nehmen, den Code aber statt als Textnachricht von der App ablesen. Also kein größerer Aufwand, aber mit hoher Wirkkraft.
|
Twitter has made some strange decisions under the aegis of Elon Musk. Many security experts have left the company. Now security is being cut further and 2FA is affected. Paul Ducklin, Principal Research Scientist, Sophos, sheds light on Twitter’s decision:
„Twitter has announced an intriguing change to its 2FA (two-factor authentication) system. The change will take effect in about a month’s time, and can be summarised very simply in the following short piece of doggerel: Using texts is insecure for doing 2FA, So if you want to keep it up you’re going to have to pay. We said “about a month’s time” above because Twitter’s announcement is somewhat ambiguous with its dates-and-days calculations. The product announcement bulletin, dated 2023-02-15, says that users with text-message (SMS) based 2FA “have 30 days to disable this method and enroll in another”. If you include the day of the announcement in that 30-day period, this implies that SMS-based 2FA will be discontinued on Thursday 2023-03-16. If you assume that the 30-day window starts at the beginning of the next full day, you’d expect SMS 2FA to stop on Friday 2023-03-17. However, the bulletin says that “after 20 March 2023, we will no longer permit non-Twitter Blue subscribers to use text messages as a 2FA method. At that time, accounts with text message 2FA still enabled will have it disabled.” If that’s strictly correct, then SMS-based 2FA ends at the start of Tuesday 21 March 2022 (in an undisclosed timezone), though our advice is to take the shortest possible interpretation so you don’t get caught out. SMS considered insecure Simply put, Twitter has decided, as Reddit did a few years ago, that one-time security codes sent via SMS are no longer safe, because “unfortunately we have seen phone-number based 2FA be used – and abused – by bad actors.” The primary objection to SMS-based 2FA codes is that determined cybercriminals have learned how to trick, cajole or simply to bribe employees in mobile phone companies to give them replacement SIM cards programmed with someone else’s phone number. Legitimately replacing a lost, broken or stolen SIM card is obviously a desirable feature of the mobile phone network, otherwise you’d have to get a new phone number every time you changed SIM. But the apparent ease with which some crooks have learned the social engineering skills to “take over” other people’s numbers, usually with the very specific aim of getting at their 2FA login codes, has led to bad publicity for text messages as a source of 2FA secrets. This sort of criminality is known in the jargon as SIM-swapping, but it’s not strictly any sort of swap, given that a phone number can only be programmed into one SIM card at a time. So, when the mobile phone company “swaps” a SIM, it’s actually an outright replacement, because the old SIM goes dead and won’t work any more. Of course, if you’re replacing your own SIM because your phone got stolen, that’s a great security feature, because it restores your number to you, and ensures that the thief can’t make calls on your dime, or listen in to your messages and calls. But if the tables are turned, and the crooks are taking over your SIM card illegally, this “feature” turns into a double liability, because the criminals start receiving your messages, including your login codes, and you can’t use your own phone to report the problem! Is this really about security? Is this change really about security, or is it simply Twitter aiming to simplify its IT operations and save money by cutting down on the number of text messages it needs to send? We suspect that if the company really were serious about retiring SMS-based login authentication, it would impel all its users to switch to what it considers more secure forms of 2FA. Ironically, however, users who pay for the Twitter Blue service, a group that seems to include high-profile or popular users whose accounts we suspect are much more attractive targets for cybercriminals… …will be allowed to keep using the very 2FA process that’s not considered secure enough for everyone else. SIM-swapping attacks are difficult for criminals to pull off in bulk, because a SIM swap often involves sending a “mule” (a cybergang member or “affiliate” who is willing or desperate enough to risk showing up in person to conduct a cybercrime) into a mobile phone shop, perhaps with fake ID, to try to get hold of a specific number. In other words, SIM-swapping attacks often seem to be premeditated, planned and targeted, based on an account for which the criminals already know the username and password, and where they think that the value of the account they’re going to take over is worth the time, effort and risk of getting caught in the act. So, if you do decide to go for Twitter Blue, we suggest that you don’t carry on using SMS-based 2FA, even though you’ll be allowed to, because you’ll just be joining a smaller pool of tastier targets for SIM-swapping cybergangs to attack. Another important aspect of Twitter’s announcement is that although the company is no longer willing to send you 2FA codes via SMS for free, and cites security concerns as a reason, it won’t be deleting your phone number once it stops texting you. Even though Twitter will no longer need your number, and even though you may have originally provided it on the understanding that it would be used specificially for the purpose of improving login security, you’ll need to remember to go in and delete it yourself. What to do?
By the way, if you’re comfortable with SMS-based 2FA, and are worried that app-based 2FA is sufficiently “different” that it will be hard to master, remember that app-based 2FA codes generally require a phone too, so your login workflow doesn’t change much at all. Instead of unlocking your phone, waiting for a code to arrive in a text message, and then typing that code into your browser… …you unlock your phone, open your authenticator app, read off the code from there, and type that into your browser instead. (The numbers typically change every 30 seconds so they can’t be re-used.)“ |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de