Tocar nombre de usuario y contraseña del teléfono de tono

1

Acabo de hablar por teléfono con Fidelity, que administra los beneficios de salud para la empresa en la que trabajo. Antes de hablar con una persona, me pidieron que ingresara mi nombre de usuario y contraseña en el teclado numérico: 2 para abc, 3 para def, ... (Sus contraseñas están limitadas a letras y números)

Se me ocurrió que hacer esto reduce gravemente el conjunto de posibles contraseñas por las que tendría que pasar un atacante. Por ejemplo, una contraseña de ocho caracteres solo tiene alrededor de 4^8 = 65536 de posibilidades una vez que se conoce la secuencia de teclas. (Algunas teclas se asignan a 4 letras más el número en sí, por lo que es un poco más que eso).

¿Qué tan fácil sería para un atacante escuchar la secuencia de teclas y luego forzar la contraseña a partir de la secuencia de dígitos de tonos? Supongo que las líneas telefónicas no son tan seguras como las HTTPS.

    
pregunta bgschiller 21.05.2014 - 23:06
fuente

3 respuestas

3

Sí, es posible, pero no necesariamente fácil, que alguien escuche sus tonos DTMF.

Línea terrestre

Este es el más fácil para tocar. En orden creciente de dificultad ...

  • Cualquier persona en su casa puede tomar una extensión y escuchar qué números presiona.
  • Cualquier persona con acceso a su casa puede instalar una grabadora digital en una toma de teléfono y luego escuchar los tonos DTMF.
  • Cualquier persona con acceso a su propiedad podría conectar un dispositivo a su línea telefónica para escuchar todo lo que diga. Las llamadas telefónicas no están encriptadas :-)
  • Cualquier persona con conocimiento detallado de su compañía telefónica podría abrir su gabinete local y aprovechar la conexión allí.

En resumen, escribir su contraseña, número de tarjeta de crédito o cualquier información confidencial a través de un POTS no es una línea fija. una buena idea.

Teléfono móvil

Bien, supongamos que tienes un teléfono móvil. Es un lote más difícil de tocar, pero no imposible.

  • Cualquier persona cercana podrá escuchar físicamente los tonos que ingresas. El altavoz del teléfono reproducirá el DTMF a medida que presionas el botón. Todo lo que necesita es una grabadora digital, un micrófono apuntado en su dirección y algún software para seleccionar los tonos.
  • La conexión entre usted y su estación base suele estar cifrada. Sin embargo, hay debilidades conocidas en los algoritmos de cifrado . Un atacante determinado podría, en teoría, descifrar sus comunicaciones en tiempo real o después del evento.
  • Es posible (aunque difícil) que un atacante fuerce a su teléfono en una estación base falsa . En este punto, el atacante puede escuchar todo lo que escribes.

¿Eres un objetivo?

Todo esto realmente depende de qué tan alto sea el valor del objetivo que usted y su cuenta tengan. Dudo que sus beneficios de salud sean de particular interés para los delincuentes.

Dicho esto, si su cuenta bancaria contiene miles de millones de dólares y utiliza la misma contraseña para la banca que para los beneficios, ¡algunos de estos escenarios son más probables que otros!

    
respondido por el Terence Eden 26.05.2014 - 12:15
fuente
1

¿Fuerza bruta la contraseña del patrón de tono? Fácil, suponiendo que el sitio web no tenga contramedidas para prevenir ataques de fuerza bruta.

¿Escuchas la secuencia de teclas? Mucho más difícil. Suponiendo que no esté ingresando la contraseña en público, el atacante deberá tocar la línea telefónica en algún momento, lo cual es bastante difícil para cualquier persona que no esté en la ley o empleada por la compañía telefónica.

    
respondido por el Mark 22.05.2014 - 06:52
fuente
1

Como menciona Mark, la parte más difícil de atacar su contraseña de esta manera sería obtener acceso para capturar los números ingresados durante su llamada telefónica. Si un atacante quiere tocar su línea telefónica (suponiendo que no sea móvil) necesita acceso físico a su casa o punto de demarcación fuera de su casa. Dependiendo de dónde viva, puede que no sea difícil acceder a su punto de demarcación para instalar un grifo, pero el atacante deberá saber dónde vive. Alguien con acceso a la empresa de telecomunicaciones también podría hacer esto, pero eso es generalmente mucho más difícil de hackear.

Luego, adjuntarían un dispositivo que graba tonos DTMF para que luego puedan ver una llamada a Fidelity seguida de su código de acceso. Capturar los tonos DTMF enviados al marcar y convertirlos de nuevo a su representación numérica es bastante fácil.

Alternativamente, si marca Fidelity con un teléfono inteligente, podría ser mejor para el atacante. Si pudieran engañarlo para que instale un troyano en su teléfono, esto podría monitorear sus llamadas y capturar cualquier dígito enviado. Por supuesto, el troyano también podría capturar su contraseña exacta si inicia sesión en el sitio web de Fidelity utilizando el navegador del teléfono.

Otro cliente me ha dicho que puede iniciar sesión en el sitio web de Fidelity con la misma contraseña numérica que usa por teléfono. Si un atacante solo quiere ingresar a su cuenta, entonces no sería necesario forzarlo de manera bruta.

Suponiendo que el hacker deseara su contraseña original, tendrían que compilar las posibilidades. 1 y 0 solo representan números, mientras que 2 - 9 representan un número o una de tres a cuatro letras. Ya que querrían distinguir entre mayúsculas y minúsculas, eso nos da 9 posibilidades de caracteres totales por clave.

El peor escenario (lo que significa que no se utilizaron 1 o 0, y todos los 7 y 9) para una contraseña de 8 caracteres sería 9 ^ 8, o 43,046,721. Es poco probable que una persona realmente use los 7 y los 9, por lo que es probable que ese número sea mucho menor. También pueden priorizar ese conjunto de posibilidades con palabras u otros formatos de contraseña comunes que se adivinan primero para mejorar sus probabilidades de encontrarlo antes.

    
respondido por el PwdRsch 25.05.2014 - 20:54
fuente

Lea otras preguntas en las etiquetas