Questo articolo interessante nel NYT discute di come gli aggressori stanno rubando i numeri di telefono delle vittime designate telefonando a Verizon, AT & T, ecc., Dando loro una storia sommessa su un'emergenza e convincendo la compagnia telefonica a trasferire il numero di telefono di destinazione sul dispositivo stesso. Una volta completato il trasferimento del numero di telefono, utilizzano le funzioni "Password dimenticata" dei siti web di valuta digitale per ottenere il controllo.
Le mie domande sono:
-
Gli aggressori si sono concentrati su persone specifiche associate alla valuta digitale. Quali sono le modalità con cui probabilmente sono abituati a ottenere i numeri di telefono dei loro bersagli in primo luogo?
-
Il problema principale era che questi account di moneta digitale avessero tutte le opzioni di recupero password / account SMS, in modo tale che una volta che l'utente malintenzionato avesse il controllo del numero di telefono, un semplice reset dell'account via SMS consentiva il controllo completo?
-
Supponendo che il recupero / ripristino dell'account SMS fosse la vulnerabilità qui, quanto è diffusa questa pratica tra i siti web? Cos'altro può fare un utente malintenzionato con un numero di telefono catturato?
-
Esistono misure ragionevoli che le persone possono adottare per proteggersi da questo scenario?