Il sito di "ricezione di SMS online" potrebbe essere una truffa?

Naviga le tue risposte
3

C'è un sito che ti permette di vedere tutti gli SMS ricevuti da un certo insieme di numeri di telefono (di proprietà del sito). Questo sembra essere pensato per servizi che richiedono l'autenticazione a due fattori tramite SMS, quando non puoi (o non vuoi) fornire il tuo numero di telefono per quel SMS. Invece, inserisci un numero di telefono fornito da quel sito e poi utilizzi quel sito per visualizzare gli SMS di autenticazione.

Ovviamente, questo riduce la sicurezza, perché in pratica trasforma l'autenticazione a due fattori in un fattore (perché quel numero di telefono non è "qualcosa che possiedi"). Ma a parte questo, tale sito è sicuro da usare? Potrebbero in qualche modo usare l'SMS ricevuto per accedere al mio account o per qualche altro nefasto?

Per la cronaca, il sito di cui sto parlando è link .

    
posta svick 09.05.2014 - 16:20
fonte

2 risposte

6

Il servizio rende disponibili tutti gli SMS che ricevono a qualsiasi utente di Internet. Ciò significa che qualsiasi informazione riservata ricevuta tramite SMS è compromessa.

Molti siti Web che utilizzano l'autenticazione a due fattori tramite SMS utilizzano anche SMS per comunicare altre informazioni riservate all'utente. Questa informazione non è più riservata in questo caso. Ad esempio, potrebbero anche utilizzare SMS per il recupero della password. Ciò significa che potrebbe essere possibile dirottare il tuo account facendo clic su "password dimenticata" che potrebbe offrire un'opzione "Invia nuova password al mio cellulare". L'utente malintenzionato potrebbe quindi monitorare il servizio di sms online per la nuova password.

Guardando gli SMS uno dei loro numeri ricevuti nelle ultime ore, la maggior parte dei messaggi consente di indovinare il sito web da cui provengono, ma non dispongono del contesto necessario per scoprire a quale account appartengono. Per abusare delle informazioni bisognerebbe collegarle a qualche account da qualche parte. Tuttavia, non puoi sapere su cosa ti invia il servizio che desideri registrare. Quando il messaggio include un nome utente, l'account è praticamente compromesso.

Hai chiesto cosa potrebbe il servizio sms fare se fossero malvagi. Il sito web che hai registrato con il loro numero crede che il loro numero sia il tuo numero, quindi potrebbero considerare autentici alcuni comandi che ricevono da quel numero. Quali opzioni dà loro dipende dal sito web.

    
risposta data 09.05.2014 - 16:48
fonte
4

Li ho usati in passato per creare account che non volevo ricondurre a me (titubante nel dare il mio numero di telefono). La maggior parte dei messaggi SMS contiene solo un piccolo frammento di informazioni e non contiene nient'altro. Né è necessario inserire dettagli per utilizzare il servizio, in quanto non è possibile rintracciare a quale account è stato collegato l'SMS.

Non lo userei per qualcosa di importante, ma per l'utilizzo in una sola creazione e verifica dell'account sono abbastanza sicuri.

    
risposta data 09.05.2014 - 16:39
fonte

Leggi altre domande sui tag

Powershell aperto, passato alla modalità amministratore e eseguito gli script tutti senza che io tocchi il mio computer. Quanto dovrei essere preoccupato? Rischio per la sicurezza di consentire ai pacchetti ICMP di "destinazione non raggiungibile" su AWS