¿Podría el sitio "recibir SMS en línea" ser una estafa?

Navega tus respuestas
3

Hay un sitio que le permite ver todos los SMS recibidos por un determinado conjunto de números de teléfono (propiedad del sitio). Esto parece estar destinado a servicios que requieren autenticación de dos factores mediante SMS, cuando no puede (o no desea) proporcionar su número de teléfono para ese SMS. En su lugar, ingresa un número de teléfono proporcionado por ese sitio y luego lo usa para ver su SMS de autenticación.

Obviamente, esto reduce la seguridad, porque básicamente vuelve la autenticación de dos factores a un factor único (porque ese número de teléfono no es "algo que tienes"). Pero aparte de eso, ¿es seguro usar este sitio? ¿Podrían usar de alguna manera los SMS recibidos para obtener acceso a mi cuenta, o para algún otro fin nefasto?

Para el registro, el sitio del que estoy hablando es enlace .

    
pregunta svick 09.05.2014 - 16:20
fuente

2 respuestas

6

El servicio hace que todos los SMS que reciben estén disponibles para cualquier usuario de Internet. Eso significa que cualquier información confidencial que reciba a través de SMS está comprometida.

Muchos sitios web que usan autenticación de dos factores a través de SMS también usan SMS para comunicarle otra información confidencial. Esta información ya no es confidencial en este caso. Podrían, por ejemplo, usar SMS para la recuperación de contraseñas. Eso significa que podría ser posible secuestrar su cuenta haciendo clic en "Olvidé la contraseña", que podría ofrecer una opción de "enviar una nueva contraseña a mi teléfono celular". El atacante podría entonces monitorear el servicio de sms en línea para la nueva contraseña.

En cuanto al SMS, uno de sus números recibidos en las últimas horas, la mayoría de los mensajes permiten adivinar el sitio web del que provienen, pero carecen del contexto necesario para averiguar a qué cuenta pertenecen. Para abusar de la información uno tendría que vincularlos a alguna cuenta en algún lugar. Sin embargo, no puede saber qué servicio de registro desea enviarle. Cuando el mensaje incluye un nombre de usuario, la cuenta está bastante comprometida.

Usted preguntó qué podría hacer el servicio de SMS en caso de que fueran malvados. El sitio web en el que se registró para usar su número cree que su número es su número, por lo que podrían considerar auténticos algunos comandos que reciben de ese número. Las opciones que les da esto dependen del sitio web.

    
respondido por el Philipp 09.05.2014 - 16:48
fuente
4

Los he usado en el pasado para crear cuentas que no quería que me rastrearan (dudando en dar mi número de teléfono). La mayoría de los mensajes SMS contienen solo un pequeño fragmento de información y no contienen nada más. Tampoco necesita dar ningún detalle para usar el servicio, ya que no hay forma de rastrear a qué cuenta estaba vinculada el SMS.

No usaría esto para nada importante, pero para usar en una sola vez la creación y verificación de cuentas son bastante seguras.

    
respondido por el TrinityInfoSec 09.05.2014 - 16:39
fuente

Lea otras preguntas en las etiquetas

Powershell se abrió, cambió al modo administrador y ejecutó todos los scripts sin que yo tocara mi computadora. ¿Qué tan preocupado debería estar? ¿es posible mejorar la entropía de XKCD # 936 usando un diccionario más grande?