Quanto è grande la vulnerabilità è il furto del numero di telefono e come proteggersi da questo? [chiuso]

4

Questo articolo interessante nel NYT discute di come gli aggressori stanno rubando i numeri di telefono delle vittime designate telefonando a Verizon, AT & T, ecc., Dando loro una storia sommessa su un'emergenza e convincendo la compagnia telefonica a trasferire il numero di telefono di destinazione sul dispositivo stesso. Una volta completato il trasferimento del numero di telefono, utilizzano le funzioni "Password dimenticata" dei siti web di valuta digitale per ottenere il controllo.

Le mie domande sono:

  1. Gli aggressori si sono concentrati su persone specifiche associate alla valuta digitale. Quali sono le modalità con cui probabilmente sono abituati a ottenere i numeri di telefono dei loro bersagli in primo luogo?

  2. Il problema principale era che questi account di moneta digitale avessero tutte le opzioni di recupero password / account SMS, in modo tale che una volta che l'utente malintenzionato avesse il controllo del numero di telefono, un semplice reset dell'account via SMS consentiva il controllo completo?

  3. Supponendo che il recupero / ripristino dell'account SMS fosse la vulnerabilità qui, quanto è diffusa questa pratica tra i siti web? Cos'altro può fare un utente malintenzionato con un numero di telefono catturato?

  4. Esistono misure ragionevoli che le persone possono adottare per proteggersi da questo scenario?

posta Chris Knight 22.08.2017 - 12:56
fonte

2 risposte

0

C'è un numero di modi in cui il numero di qualcuno può essere acquisito dagli attaccanti. Forse la vittima ce l'ha, e il suo indirizzo e-mail è esposto pubblicamente su Facebook, o su Skype o su LinkedIn. O forse i dati sono stati divulgati in una violazione dei dati e poi venduti e condivisi dai criminali.

Secondo me, il problema principale è che gli impiegati delle compagnie telefoniche hanno rotto la procedura e trasferito il numero di qualcuno su un'altra sim senza un'autenticazione corretta. Quelle procedure sono in atto per una ragione, ma gli aggressori hanno architettato socialmente gli operatori per infrangerli.

Non posso dire esattamente quanto sia diffusa la pratica del recupero degli sms, credo che sia abbastanza diffusa, perché è piacevole e facile per un utente medio. L'articolo menziona Facebook, Twitter e Google, e so che LastPass lo fa anche tu. I primi tre sono giocatori molto grandi su Internet, quindi questo suggerisce che sarebbe una pratica diffusa, mentre altri seguono il loro esempio.

Per evitarlo, possiamo sperare che le compagnie telefoniche cambino il loro modo di lavorare in modo da renderlo impossibile (o almeno molto meno probabile). Puoi anche limitare l'esposizione del tuo numero di telefono o avere un numero di telefono specifico su una pay as you go sim in un telefono "stupido" (uno vecchio come il classico Nokia 3310) che usi solo per il recupero dell'account. Infine, sebbene ciò non sia applicabile per tutti i siti Web, è possibile provare a attivare metodi alternativi di recupero dell'account.

    
risposta data 23.08.2017 - 11:55
fonte
0

Le Linee guida per le identità digitali del NIST riconoscono il rischio di perdita del numero di cellulare tramite social ingegneria, e la loro strategia di mitigazione raccomandata è "Evitare l'uso di autenticatori che presentano un rischio di ingegneria sociale di terze parti come gli agenti del servizio clienti", vale a dire non utilizzare SMS per l'autenticazione.

    
risposta data 23.08.2017 - 12:02
fonte

Leggi altre domande sui tag