Vechiul tău număr de telefon este visul unui hacker - ceea ce trebuie să știi

(Credit imagine: Africa Studio/Shutterstock)

Dacă v-ați schimbat vreodată numărul de telefon mobil, mai ales în ultimii câțiva ani, este posibil să fi creat un risc uriaș de securitate și confidențialitate pentru dvs.

Acest lucru se datorează faptului că vechiul tău număr de telefon creează o poartă pentru ca hackeri, escrocii și urmăritorii să preia conturile tale Google, Facebook, Amazon sau Yahoo, să-ți spargă conturile bancare online și chiar să te urmărească sau să te șantajeze, au detaliat cercetătorii de la Princeton într-un noua lucrare academica și site-ul aferent .



  • Oferte Cyber ​​Monday: vezi toate cele mai bune oferte chiar acum!

Acest lucru se întâmplă deoarece multe site-uri web vă permit să vă conectați cu un număr de telefon în loc de un nume de utilizator, apoi vă permit să resetați parola trimițând un text la numărul de telefon.

În alte cazuri, băncile sau alte servicii financiare trimit coduri de autentificare în doi factori (2FA) către numărul de telefon mobil, permițând escrocii care ți-au obținut adresa de e-mail și parola în urma încălcării datelor să intre în cont.

În total, aceasta este încă o dovadă că utilizarea numerelor de telefon mobil pentru verificarea contului și a identității creează o catastrofă de confidențialitate și securitate cu încetinitorul.

dimensiunile iphone 12 pro

Cum să împiedicați vechiul număr de telefon să vă pirateze

Pentru a se proteja de acest lucru, cercetătorii de la Princeton, Kevin Lee și Arvind Narayanan, sfătuiesc persoanele care își schimbă numerele să nu elibereze numerele vechi transportatorilor, ci să folosească un serviciu de „parcare a numărului” care vă va păstra numărul la un cost rezonabil. .

De asemenea, ei sfătuiesc ca oricine își schimbă numărul să-și dea seama că aveți la dispoziție doar 45 de zile înainte ca vechiul număr să fie repus în circulație, timp în care trebuie să deconectați numărul vechi de la toate conturile dvs. online. (Această poveste a fost raportată anterior de Placa de baza Vice .)

Doar atâtea numere de parcurs

Lee și Narayanan au explicat în lucrarea lor de cercetare și site-ul web care a descoperit că dintre cei trei operatori majori din SUA, Verizon și T-Mobile, ambele vă permit să accesați online pentru a alege un nou număr de telefon mobil și să vă prezinte o listă de posibilități disponibile. (AT&T nu.)

„În Statele Unite”, au scris ei în lucrarea lor de cercetare, „când un abonat renunță la numărul său de telefon din 10 cifre, acesta este în cele din urmă realocat altcuiva”.

Perioada de „învechire” pentru ca un număr folosit anterior să rămână nefolosit este de 45 de zile, conform prevederilor FCC. După aceea, este disponibil pentru reutilizare și, dacă este unul controlat de Verizon sau T-Mobile, va fi listat pe site-urile lor.

La un moment dat, și-au dat seama Lee și Narayanan, aproximativ 1 milion de numere reciclate sunt disponibile și „estimam că un număr disponibil este luat după 1,2 luni”.

Privind site-urile Verizon și T-Mobile, cercetătorii au descoperit că este ușor să facă distincția între numere „noi” care nu au fost niciodată folosite și numere „reciclate” care au fost.

Numerele noi au fost prezentate într-o secvență consecutivă care ar putea arăta astfel:

  • (212) 555-1234
  • (212) 555-1236
  • (212) 555-1243
  • (212) 555-1249
  • (212) 555-1253
  • (212) 555-1260

Numerele utilizate anterior ar prezenta ultimele lor patru cifre aleatoriu:

  • (212) 555-1234
  • (212) 555-9249
  • (212) 555-2096
  • (212) 555-5884
  • (212) 555-3587
  • (212) 555-5841

(Codurile de zonă sunt legate de locația clientului potențial, iar cele trei cifre din mijloc sunt prefixe de schimb care sunt alocate transportatorilor în blocuri.)

Lee și Narayanan s-au uitat la 259 de numere disponibile de la Verizon și T-Mobile, au stabilit că 215 au fost folosite anterior și apoi au încercat să vadă ce ar putea face cu ele.

Apple iPad Pro Black Friday

Numărul de telefon al Pandorei

Cercetătorii au descoperit că 171 dintre numerele reciclate, sau 83%, au fost legate de cel puțin un cont existent la Amazon, AOL, Facebook, Google, Paypal sau Yahoo. Fiecare dintre aceste servicii vă permite să vă conectați folosind numărul de telefon mobil în loc de adresa de e-mail sau numele de utilizator.

Mai rău, Amazon, AOL, Paypal și Yahoo vă permit, de asemenea, să resetați parola pentru un cont, trimițând un text de verificare care conține o parolă unică (OTP) către numărul de telefon mobil asociat - o situație pe care Lee și Narayan au numit-o „dublu nesigură”.

Cu alte cuvinte, Lee și Narayanan ar fi putut deturna conturile a 171 de persoane diferite pur și simplu folosind vechile lor numere de telefon.

„Conturile cu această configurație dublu nesigură... sunt expuse imediat unui risc de preluare”, au scris ei în lucrarea lor.

Facebook și Google s-au descurcat mai bine în acest sens, deoarece „recuperarea [contului] prin SMS este permisă numai dacă SMS 2FA nu este activat”.

În caz contrar, ar trebui să prezentați o formă separată de verificare înainte de a obține acel OTP pentru resetarea contului sau să trimiteți OTP-ul la un cont de e-mail de rezervă. (Este periculos să folosiți mesaje text SMS în autentificarea cu doi factori - alte metode 2FA sunt mult mai bune.)

Pre-screening numerele vulnerabile

Lee și Narayan nici măcar nu au avut nevoie să „revendică” aceste numere de la T-Mobile sau Verizon pentru a face acest lucru. Trebuia doar să vadă numerele disponibile pe site-urile web ale transportatorilor. Acest lucru ar permite atacatorilor sistematici să verifice în prealabil numerele disponibile pentru conturile conectate.

„Atacatorul poate obține apoi aceste numere și poate reseta parola de pe conturi și poate primi și introduce corect OTP-ul trimis prin SMS la conectare”, au scris aceștia.

data lansării Apple Watch 2021

Devine și mai rău, totuși. Lee și Narayan și-au conectat numerele de telefon reciclate în două site-uri web de „căutare persoane”, BeenVerified și Intelius, pentru a aduna informații despre proprietarii anteriori ai numerelor.

Din nou, 171 dintre aceste numere au dat rezultate - nume complete, adrese de e-mail, locații, adrese stradale, informații la locul de muncă și conturi de rețele sociale. Un atacator ar avea un avans bun în a fura identitățile acelor persoane, toate doar din faptul că au vechile lor numere de telefon.

Înfrângerea autentificării cu doi factori

Lee și Narayan au conectat și numerele de telefon HaveIBeenPwned , o bază de date online care vă permite să verificați dacă adresele dvs. de e-mail, parolele și numerele de telefon au fost expuse în încălcări ale datelor, scurgeri de date și atacuri de phishing.

Ecrane de pornire cool ios 14

Ei au descoperit că 100 din cele 259 de numere „au fost legate de acreditări de conectare scurse de pe web, ceea ce ar putea permite deturnarea conturilor care înfrânge autentificarea multi-factor prin SMS”.

Cu alte cuvinte, acele numere erau asociate cu combinații nume de utilizator-parolă care fuseseră deja compromise și erau disponibile undeva online.

Cu acreditările de conectare plus numărul de telefon, un atacator ar putea să se conecteze la conturi care erau protejate de 2FA bazat pe SMS, apoi să obțină textul de verificare cu parola unică și să preia complet e-mailul, banca sau alt deținător al vechiului număr. cont online.

Stalker, spammer și șantaji

Lee și Narayanan au schițat scenarii posibil mai îngrozitoare, dintre care unele sunt destul de înfiorătoare de imaginat. O persoană urmărită sau hărțuită și-ar putea schimba numărul pentru a scăpa de chinuitorul său, doar pentru ca urmăritorul să revendice vechiul număr odată ce acesta a devenit disponibil după perioada necesară de „îmbătrânire” de 45 de zile.

Phisheri și spammerii ar putea nota numerele disponibile, apoi pot trimite prin text spam noilor proprietari de numere după ce numerele sunt revendicate. Escrocii înțelepți ar putea să dețină temporar numere, să se înscrie la Google, Facebook sau Amazon, apoi să elibereze numerele - și să ceară bani de la următorii proprietari de numere care descoperă că nu pot configura corect conturi pentru aceste servicii.

Din fericire, această cercetare, care a fost prezentată în avans la T-Mobile și Verizon, dă deja unele rezultate.

Ambii operatori au adăugat mementouri pe paginile lor de schimbare a numerelor pentru a le reamintea abonaților că au avut la dispoziție 45 de zile pentru a-și deconecta vechile numere de la conturile online. Verizon și-a modificat, de asemenea, paginile de schimbare a numerelor, astfel încât să nu poți continua să te uiți la numerele disponibile la nesfârșit.

Totuși, toate acestea servesc ca un memento că numerele de telefon nu trebuie folosite ca acreditări de conectare, ca verificare a contului sau ca dovadă a identității - punct.

    Mai mult:Cele mai bune servicii de protecție împotriva furtului de identitate
Cele mai bune oferte Apple iPhone SE (2020) de astăziPlanuri DeblocatObțineți un nou iPhone SE + Premium Wireless începând de la doar 30 USD/lună Mint Mobile SUA Fara contract Apple iPhone SE (2020) (Rate Apple iPhone SE (2020) (Rate Gratuit dinainte 31,62 USD/luna Nelimitat min Nelimitat textele 4GB date Apeluri:Apeluri către MX și CA incluseTexte:Mesaje către MX și CA incluseDate:(incetinit la viteze de 128 kbps) Mint Mobile SUA Fara contract Nelimitat min Nelimitat textele 4GB date Apeluri:Apeluri către MX și CA incluseTexte:Mesaje către MX și CA incluseDate:(incetinit la viteze de 128 kbps) Vezi oferta la Mint Mobile Gratuit dinainte 31,62 USD/luna Vezi oferta la Mint Mobile Obțineți card cadou virtual de 100 USD + Beat Studio Buds GRATUIT - negru când comutați și activați la Vizibil Fara contract Apple iPhone SE (2020) (Rate Apple iPhone SE (2020) (Rate Gratuit dinainte 56 USD/luna Nelimitat min Nelimitat textele Nelimitat date Date:(viteze de descărcare de 5-12 Mbps, viteze de încărcare de 2-5 Mbps) Fara contract Nelimitat min Nelimitat textele Nelimitat date Date:(viteze de descărcare de 5-12 Mbps, viteze de încărcare de 2-5 Mbps) Vezi oferta la Gratuit dinainte 56 USD/luna Vezi oferta la Vinerea neagră: obțineți 80 USD reducere la acest telefon + 50% reducere pentru planurile de peste 10 USD pentru prima lună de serviciu Spune-ne Fara contract Apple iPhone SE (2020) (64 GB) Apple iPhone SE (2020) (64 GB) 319 USD dinainte 39 USD/luna Nelimitat min Nelimitat textele Nelimitat date Apeluri:Sunt incluse apelurile către peste 60 de țăriDate:2G nelimitat după 25 GB de utilizare a datelor 4G LTE/5G Spune-ne Fara contract Nelimitat min Nelimitat textele Nelimitat date Apeluri:Sunt incluse apelurile către peste 60 de țăriDate:2G nelimitat după 25 GB de utilizare a datelor 4G LTE/5G Vezi oferta la Tello 319 USD dinainte 39 USD/luna Vezi oferta la Tello Verificăm peste 250 de milioane de produse în fiecare zi pentru cele mai bune prețuri