Che cosa succederà se utilizzo password deboli in un sito Web di invio SMS gratuito che espone poche informazioni personali?

Naviga le tue risposte
2

C'è un servizio di invio SMS gratuito nel nostro paese. Richiede un numero di telefono per accedere. Una volta registrato, è possibile inviare SMS a qualsiasi numero di telefono all'interno di questo paese. Il numero di telefono che utilizzi per inviare gli SMS verrà mostrato al destinatario.

Quanto è rischioso e cosa succederà negli scenari peggiori se si usasse una password come "123456", "password" o il numero di telefono stesso?

Una volta effettuato l'accesso, ecco le informazioni disponibili per la persona:

  • username (nel mio caso, è il mio vero nome)
  • data di nascita (ho dato una data di nascita errata)
  • contatti: il sito web ti offre la possibilità di memorizzare i numeri a cui inviare SMS. Solo il nome e i numeri di telefono sono visibili (ovviamente, il nome è qualsiasi cosa che specifichiamo).

Per essere chiari, non uso una password del genere, ma un mio amico che usa questo servizio lo fa. Quindi, sto cercando di convincerlo con i rischi che potrebbe trovarsi di fronte.

    
posta popeye_the_sailorman 25.04.2018 - 13:14
fonte

1 risposta

3

Bene, la minaccia di gran lunga più grande non è la perdita di informazioni personali da sola, ma la capacità dell'aggressore di impersonare te. Essendo in grado di inviare SMS dal tuo numero e un po 'di ingegneria sociale, l'attaccante può convincere un sacco di persone che lui è te (o il tuo amico in questo esempio).

Anche se potrebbe non essere in grado di persuadere, ad esempio, una banca immediatamente, può semplicemente costruire. Innanzitutto contatta il fornitore di servizi telefonici dicendo che ha bisogno di una nuova SIM, ottenendo il pieno controllo del tuo numero di telefono. Quindi utilizzarlo per ottenere il codice SMS di ripristino per la tua email. Utilizza la posta elettronica per accedere a una pletora di account Web utilizzando la reimpostazione "password dimenticata". Ottenere informazioni personali da questi account e alla fine ingannare istituzioni importanti, come le banche. Fondamentalmente tirando fuori il pieno furto di identità.

    
risposta data 25.04.2018 - 13:30
fonte

Leggi altre domande sui tag

Scelta automatica della funzione di hash per la derivazione della chiave Un criterio di sicurezza IT dovrebbe consentire ai dipendenti di utilizzare il Wi-Fi pubblico? [chiuso]