¿Qué pasará si utilizo contraseñas débiles en un sitio web gratuito de envío de SMS que expone poca información personal?

Navega tus respuestas
2

Hay un servicio gratuito de envío de SMS en nuestro país. Requiere un número de teléfono para iniciar sesión. Una vez registrado, puede enviar SMS a cualquier número de teléfono dentro de este país. El número de teléfono que utiliza para enviar el SMS se mostrará al destinatario.

¿Qué tan arriesgado es y qué ocurrirá en los peores escenarios si uno usara una contraseña como '123456', 'contraseña' o el número de teléfono?

Al iniciar sesión, aquí está la información disponible para la persona:

  • nombre de usuario (en mi caso, es mi nombre real)
  • fecha de nacimiento (he dado una fecha de nacimiento falsa)
  • contactos: el sitio web le ofrece la opción de almacenar números a los que envía mensajes SMS. Solo el nombre y los números de teléfono son visibles (por supuesto, el nombre es cualquier cosa que especifiquemos).

Para ser claro, no utilizo una contraseña como esa, pero un amigo mío que usa este servicio sí. Por lo tanto, estoy tratando de convencerlo con los riesgos que podría enfrentar.

    
pregunta popeye_the_sailorman 25.04.2018 - 13:14
fuente

1 respuesta

3

Bueno, la mayor amenaza no es la fuga de información personal en sí misma, sino la capacidad del atacante para hacerse pasar por usted. Al ser capaz de enviar SMS desde tu número y un poco de ingeniería social, el atacante puede convencer a muchas personas de que eres tú (o tu amigo en este ejemplo).

Si bien puede que no sea capaz de persuadir, por ejemplo, un Banco de inmediato, puede simplemente acumular. Primero, comuníquese con el proveedor de servicios de telefonía celular para decirle que necesita una nueva tarjeta SIM y controlar completamente su número de teléfono. Luego usándolo para obtener el código de recuperación de SMS para su correo electrónico. Use el correo electrónico para obtener acceso a una gran cantidad de cuentas web usando el restablecimiento de "contraseña olvidada". Obtener información personal de estas cuentas y, finalmente, engañar a instituciones importantes, como los bancos. Básicamente tirando del robo de identidad completo.

    
respondido por el Peter Harmann 25.04.2018 - 13:30
fuente

Lea otras preguntas en las etiquetas

¿Debería una política de seguridad de TI permitir que los empleados usen Wi-Fi público? [cerrado] Consejo de carrera: ¿es posible obtener un trabajo de seguridad sin educación formal? ¿Qué puede compensar la falta de ella? [cerrado]