Sì, è possibile, ma non necessariamente facile, che qualcuno ascolti i toni DTMF.

Linea terrestre

Questo è il più facile da toccare. In ordine crescente di difficoltà ...

• Chiunque in casa può ritirare un'estensione e ascoltare i numeri che si preme.
• Chiunque abbia accesso a casa tua può installare un registratore digitale in una presa telefonica e quindi ascoltare i toni DTMF.
• Chiunque abbia accesso alla tua proprietà potrebbe collegare un dispositivo alla tua linea telefonica per ascoltare tutto ciò che dici. Le telefonate non sono criptate: -)
• Chiunque abbia una conoscenza approfondita della tua compagnia telefonica potrebbe aprire il tuo armadietto locale e toccare la connessione lì.

In breve, digitando la password, il numero di carta di credito o qualsiasi dato sensibile, tramite una POTS rete fissa non è una buona idea.

Telefono cellulare

Ok, supponiamo che tu abbia un cellulare / cellulare. È un lotto più difficile da toccare, ma non impossibile.

• Chiunque nelle vicinanze sarà in grado di sentire fisicamente i toni digitati. L'altoparlante del telefono riprodurrà il DTMF quando si preme il pulsante. Un registratore digitale, un microfono puntato nella tua direzione e alcuni software per selezionare i toni sono tutto ciò che è necessario.
• La connessione tra te e la tua base-stazione è solitamente crittografata. Tuttavia, sono noti punti deboli negli algoritmi di crittografia . Un determinato attaccante potrebbe, in teoria, decrittografare le comunicazioni in tempo reale o dopo l'evento.
• È possibile (anche se difficile) per un utente malintenzionato forzare il telefono su una finta basestazione . A questo punto, l'attaccante può sentire tutto ciò che viene digitato.

Sei un bersaglio?

Tutto ciò dipende in realtà dall'aumento del valore che tu e il tuo account avete. Dubito che i tuoi benefici per la salute siano di particolare interesse per i criminali.

Detto questo, se il tuo conto bancario contiene miliardi di dollari e utilizzi la stessa password per i servizi bancari come per i vantaggi, alcuni di questi scenari sono più probabili di altri!

Forza bruta la password dallo schema dei toni? Facile, supponendo che il sito Web non contenga alcuna contromisura per prevenire attacchi brute-force.

Ascolta la sequenza di tasti? Molto più difficile. Supponendo che non si inserisca la password in pubblico, l'utente malintenzionato dovrebbe toccare la linea telefonica ad un certo punto, il che è abbastanza difficile per chiunque non sia in forze dell'ordine o impiegato dalla compagnia telefonica.

Come dice Mark, la parte più difficile di attaccare la tua password in questo modo sarebbe ottenere l'accesso per catturare i numeri inseriti durante la tua telefonata. Se un utente malintenzionato vuole toccare la linea telefonica (supponendo che non sia mobile) ha bisogno di un accesso fisico alla tua casa o al punto di demarcazione fuori dalla tua casa. A seconda di dove vivi, potrebbe non essere difficile accedere al punto di demarcazione per installare un tocco, ma ciò richiederebbe al malintenzionato di sapere dove vivi. Qualcuno con accesso telco potrebbe anche farlo, ma questo è in genere un trucco molto più difficile.

Collegano quindi un dispositivo che registra i toni DTMF in modo che possano in seguito guardare una chiamata a Fidelity seguita dal passcode. Catturare i toni DTMF inviati quando li componi e convertirli nuovamente nella loro rappresentazione numerica è piuttosto facile.

In alternativa, se chiami Fidelity usando uno smartphone potrebbe essere meglio per l'aggressore. Se possono indurti a installare un trojan sul tuo telefono, questo potrebbe monitorare le tue chiamate e catturare qualsiasi cifra inviata. Ovviamente il trojan potrebbe anche catturare la tua password esatta se accedi al sito web di Fidelity usando il browser del telefono.

Mi è stato detto da un altro cliente che è possibile accedere al sito Web di Fidelity con la stessa password numerica che si utilizza al telefono. Se un utente malintenzionato vuole solo il tuo account, non è nemmeno necessario forzare il bruto.

Supponendo che l'hacker volesse la tua password originale, avrebbero dovuto compilare le possibilità. 1 e 0 rappresentano solo numeri, mentre 2 - 9 rappresentano un numero o una delle tre o quattro lettere. Dal momento che vorrebbe distinguere tra lettere maiuscole e minuscole che ci dà 9 possibilità di caratteri totali per chiave.

Lo scenario peggiore (ovvero che nessun 1 o 0 sono stati usati, e tutti i 7 e i 9) per una password di 8 caratteri sarebbe quindi 9 ^ 8, o 43.046.721. È improbabile che una persona utilizzi davvero tutti i 7 e i 9, quindi è probabile che tale numero diminuisca molto. Potrebbero anche dare la priorità a quel gruppo di possibilità con le parole o altri formati di password comuni che hanno indovinato prima di aumentare le probabilità di trovarlo prima.