Este artículo interesante en la NYT analiza cómo los atacantes están robando los números de teléfono de sus víctimas intencionadas llamando a Verizon, AT & T, etc., dándoles una historia de llanto sobre una emergencia y convenciendo a la compañía telefónica para que transfiera el número de teléfono objetivo al dispositivo del atacante. Una vez que se completa la transferencia del número de teléfono, utilizan las funciones de "contraseña olvidada" de los sitios web de moneda digital para obtener el control.
Mis preguntas son:
-
Los atacantes se enfocaron en personas específicas asociadas con la moneda digital. ¿Qué formas es probable que hayan utilizado para obtener los números de teléfono de sus objetivos en primer lugar?
-
¿El problema raíz era que todas estas cuentas de moneda digital tenían opciones de recuperación de contraseña / cuenta de SMS, de manera que una vez que el atacante tenía el control del número de teléfono, un simple restablecimiento de la cuenta a través de SMS les permitía un control completo?
-
Suponiendo que la recuperación / restablecimiento de la cuenta de SMS fue la vulnerabilidad aquí, ¿cuán extendida está esta práctica entre los sitios web? ¿Qué más puede hacer un atacante con un número de teléfono capturado?
-
¿Hay pasos razonables que las personas puedan tomar para protegerse contra este escenario?