¿Qué tan grande es la vulnerabilidad del robo de números telefónicos y cómo protegerse contra esto? [cerrado]

Navega tus respuestas
4

Este artículo interesante en la NYT analiza cómo los atacantes están robando los números de teléfono de sus víctimas intencionadas llamando a Verizon, AT & T, etc., dándoles una historia de llanto sobre una emergencia y convenciendo a la compañía telefónica para que transfiera el número de teléfono objetivo al dispositivo del atacante. Una vez que se completa la transferencia del número de teléfono, utilizan las funciones de "contraseña olvidada" de los sitios web de moneda digital para obtener el control.

Mis preguntas son:

  1. Los atacantes se enfocaron en personas específicas asociadas con la moneda digital. ¿Qué formas es probable que hayan utilizado para obtener los números de teléfono de sus objetivos en primer lugar?

  2. ¿El problema raíz era que todas estas cuentas de moneda digital tenían opciones de recuperación de contraseña / cuenta de SMS, de manera que una vez que el atacante tenía el control del número de teléfono, un simple restablecimiento de la cuenta a través de SMS les permitía un control completo?

  3. Suponiendo que la recuperación / restablecimiento de la cuenta de SMS fue la vulnerabilidad aquí, ¿cuán extendida está esta práctica entre los sitios web? ¿Qué más puede hacer un atacante con un número de teléfono capturado?

  4. ¿Hay pasos razonables que las personas puedan tomar para protegerse contra este escenario?

pregunta Chris Knight 22.08.2017 - 12:56
fuente

2 respuestas

0

Hay una serie de formas en que los atacantes pueden adquirir el número de alguien. Quizás la víctima lo tenga, y su dirección de correo electrónico se exponga públicamente en Facebook, Skype o LinkedIn. O tal vez esos datos se hayan filtrado en una brecha de datos y luego hayan sido vendidos y compartidos por los delincuentes.

En mi opinión, el problema raíz es que los empleados de las compañías telefónicas rompieron el procedimiento y transfirieron el número de alguien a otro simulador sin la autenticación adecuada. Esos procedimientos están implementados por una razón, pero los atacantes diseñaron socialmente a los operadores para romperlos.

No puedo decir exactamente cuán extendida está la práctica de recuperación de SMS, creo que es bastante generalizada, ya que es agradable y fácil para un usuario promedio. El artículo menciona a Facebook, Twitter y Google, y sé que LastPass también lo hace. Los tres primeros son jugadores muy grandes en Internet, por lo que sugiere que sería una práctica generalizada ya que otros siguen su ejemplo.

Para evitarlo, podemos esperar que las compañías telefónicas cambien la forma en que funcionan para que esto sea imposible (o al menos mucho menos probable). También puede limitar la exposición de su número de teléfono, o tener un número de teléfono específico en un sistema de pago a medida que avanza en un teléfono 'tonto' (uno antiguo como el clásico Nokia 3310) que solo usa para la recuperación de la cuenta. Finalmente, si bien esto no se aplicará a todos los sitios web, también puede intentar habilitar métodos alternativos de recuperación de cuentas.

    
respondido por el joedamarsio 23.08.2017 - 11:55
fuente
0
Las Pautas de identidad digital de NIST reconocen el riesgo de pérdida del número de teléfono móvil a través de redes sociales La ingeniería, y su estrategia de mitigación recomendada es "Evite el uso de autenticadores que presenten un riesgo de ingeniería social de terceros, como los agentes de servicio al cliente", es decir, no utilice SMS para la autenticación.

    
respondido por el Mike Scott 23.08.2017 - 12:02
fuente

Lea otras preguntas en las etiquetas

Inyección de la lista Lookaside Enfoque para probar la inyección XXE