Какво може някой да направи с вашия телефонен номер?

Опасностите от телефонните номера в дигиталната ера.

Забеляза ли сте колко точно точно телефонният ви номер е обвързан с вашата идентичност в наши дни? Ние използваме нашите номера, за да разменяме данни за контакт, да говорим и текст, и да потвърждаваме и удостоверяваме кои сме онлайн. Помислете колко приложения имате, които сега изискват да „потвърдите идентичността“ си с помощта на двойно удостоверяване на базата на SMS.

Ето проблема: телефонните номера никога не са били нищо повече от идентификатори на потребители за телефонната мрежа. Много аспекти от наши дигитален живот сега зависят от нашите мобилни телефонни номера. Ние получаваме много ползи от тази подредба; удобство, простота и „уж-сигурност“. Но има някои основни рискове и опасности, които трябва да сте наясно, преди да свържете телефонния си номер с вашата онлайн идентичност.

Проблеми със сигурността на SMS

Има огромна дупка в двуфактора, скъпа Лиза, скъпа Лиза …

Когато направите акаунт, използвайки своя телефонен номер, или добавите номера си, за да настоите двойното удостоверение, получавате текст с код за потвърждение. Всички знаем тренировката: Набийте мобилния си номер, изчакайте няколко секунди, въведете шест цифрения код за удостоверение и „далеч отивате“.

Но знаете, че системата, която доставя тези кодове, е шокиращо несигурно?

SMS (текстове) съобщения са част от стандарта за телекомуникации на GSM. GSM за първи път е внедрен в началото на 90-те години, което го прави на повече от двадесет години! Този верен комуникационен стандарт се държи изненадващо добре, като се има предвид колко бързо стандартите и протоколите остаряват в бързо развиващия се свят на технологиите.

GSM обаче има няколко сериозни уязвимости в сигурността, които влияят върху сигурността на SMS.

GSM трафикът на данни между мобилен телефон и доставчик на услугата се криптира чрез алгоритмите на A5 / 1 и A5 / 2 поток и алгоритъма за криптиране на блоковия шифър A5 / 3.

Поточните цифри превръщат всеки символ в съобщение в друг случаен символ, а получаващото устройство използва специален ключ, за да обърне този процес.

Блоковите шифри правят същото, но с цели блокове информация, а не с един знак, което им позволява да използват по-сложно криптиране за всеки блок криптирана информация.

Това звучи страхотно – с изключение на факта, че A5/ 1 и A5 2 са разработени в края на 80-те, а A5/ 2 е разработен в края на 90-те години. Оттогава хакерите демонстрират редица начини да разбият и трите алгоритъма. Много по-несигурният A5 / 2 оттогава е пенсиониран, но A5 / 1 и A5 /3 все още са уязвими към редица атаки, които правят възможно хората да прихващат и четат SMS съобщения, преди да стигнат до телефона ви.

И така, какво означава това за вас?

Всички ваши акаунти, които разчитат на двойна идентификация, базирани на SMS, използват комуникационен протокол на повече от двадесет години, обезопасен от схеми за криптиране за двадесет и тридесет години, за да не позволяват на хората да пазят неприкосновена личната информация.

Да. Ще го кажем. Това вече не е достатъчно добро.

Смяна на SIM карта

На кого ще се обадиш?

Знаете, „че SMS не е най-сигурният протокол в света. И какво? Все още са ви необходими някои сериозни технически знания и умения, за да проникнете в текстовите си съобщения – нали?

Не точно!

Понякога хакването на акаунта ви е толкова просто, колкото да знаете на кого да се обадите.

Най-лесния начин някой да получи достъп до вашия мобилен номер не включва изстрелване в команден ред и хакване като луд. Вместо това нападателите използват най-слабата връзка в тези сценарии за сигурност: хората.

Най-сигурната парола за акаунт в света е безполезна, ако някой може да ви убеди -или компанията, с която е вашият акаунт – да я откаже. Хората, които се опитват да получат достъп до вашите акаунти, могат да се свържат с акаунта или доставчика на услуги и да убедят компанията, че сте вие. След това компанията дава на нападателя достъп до вашия акаунт – в крайна сметка те са „вие“. Тази тактика, известна като социален инженеринг“ (много добре е описано от Кевин Митник в Изкуството на измамата) средство във всеки инструментариум на хакерите.

Социалното инженерство може да се използва за всякакви неща, вариращи от безобидни до нечестиви. Известния – и прословут изследовател на сигурността Кевин Митник използва социалното инженерство, за да получи неограничени автобусни пътувания до Лос Анджелис, като убеди шофьора на автобуса да му каже къде може да машина за перфокарти (използвана за валидиране на автобусни билети). Митник беше 12 години по това време. В по-малко забавен случай, братята Бадир – трима израелски братя, които са слепи от раждането си, създадоха телефонен номер за измама, който им донесе 2 милиона щатски долара, всеки като убеди жертвите си, че те са оператори на несъществуваща телефонна компания на дълги разстояния.

Що се отнася до мобилните телефони, често е много по-лесно, отколкото можете да очаквате да отвлечете „отвлечете“ телефонен номер, използвайки социалното инженерство. Този вид отвличане се обозначава като нападение на SIM размяна. Ето как работи:

  1. Първо, злонамерен актьор поставя празна SIM карта в телефона на жертвата.
  2. Те се обаждат на вашия доставчик на мобилни услуги и ги подвеждат да мислят, че сте вие, чрез комбинация от лъжи и манипулация – социален инженеринг.
  3. След това вашият доставчик на мобилни услуги прехвърля вашия мобилен номер в празната SIM карта на нападателя. Сега всичките ви текстове и обаждания – включително 2-факторните кодове за удостоверение – се изпращат направо към телефона на нападателя. Незабавен достъп до имейлите ви, банковите сметки, облачните данни и дори плейлистите ви!

Доставчиците на мобилни услуги разполагат протоколи, за да улеснят бързото и лесно прехвърляне на номер от една SIM в друга. Тези системи за прехвърляне съществуват, така че ако загубите телефона си (или вашата SIM), можете бързо да се възстанови и работи с новата SIM.

Рециклиране на номер на мобилен номер

Случайният хак

Смяната на SIM е огромен проблем със сигурността – с един телефонен разговор номерът ви може да се окаже в ръцете на някой друг. Но понякога телефонните номера сменят ръцете, без изобщо някой да прави нещо злонамерено. Случвало ли ви се е да получавате текстово съобщение от някой, който мисли, че сте някой друг? Вероятно са станали жертва на „рециклиране“ на телефонен номер.

Доставчиците на телефони редовно прекратяват неактивните мобилни телефонни номера, като ги връщат обратно в пула от числа, които могат да бъдат дадени на нови акаунти. Понякога този срок за рециклиране може да бъде кратък до 90 дни – което означава, че ако не платите телефонната си сметка или не покажете активност по сметката в рамките на 90 дни, доставчикът може да рециклира номера ви и да го предаде на нов клиент.

Рециклирането на номера може да доведе до някои неловки ситуации: всеки който се опита да се свърже с вас на този номер, ще изпрати съобщение за непознат. Но още по-лошото е, че ако навият собственик на вашия номер се опита да използва номера за създаване на акаунт с приложение или уебсайт, с които вече сте свързали номера, новият собственик може в крайна сметка да получи достъп до съществуващия ви акаунт – вашата лична информация може да бъдете компрометирани напълно случайно!

Търсене на мобилен телефон: Doxxing

Вземете своя doxx подред

Знаем, знаем, че SMS е стар, несигурен, уязвим и дори хакерски по случайност. Но се влошава. Има много проста, много реална опасност да свържете вашия онлайн живот с телефонния си номер: телефонните номера (поне в повечето страни) са конкретна връзка между вашите онлайн персони и вашата реална идентичност.

Ако използвате услугата, която разчита на телефонни номера като потребителски имена или вход, трябва да дадете на хората своя телефонен номер, за да могат да се свържат с вас чрез тази услуга. Това означава, че хората, които добавят в тези услуги, могат да ви се обаждат и да ви изпращат съобщения. По-лошото е, че те дори могат да използват вашия телефонен номер, за да разберат истинското ви име адрес чрез форма на интернет дебнене, известна като Doxxing.

Doxxing“ е термин „всеобхватни“ за широк спектър от подходи и атаки, но всички те имат едно общо: целите на doxiing е да идентифицира информация в реалния живот за вас, която след това може да се използва за други злобни цели като измама или дори дебнене в реалния живот.

Doxxing може да бъде невероятно лесен – толкова лесен, че всеки, не само злонамерени хакери, може да го направи. Услугите за търсене на обратен телефонен номер позволява на някой да въведе вашия телефонен номер и да намери вашето истинско име и физически адрес. Дори само обикновено търсене с Google на вашия телефонен номер в Google може да разкрие профили, снимки, публикации в социалните мрежи и други – хората могат да намерят съкровищница с информация за вас, използвайки само вашия телефон.

Нещата могат да се влошат още повече, ако нападател добави някакъв социален инженеринг в сместа. След като намерят профилите ви в социалните мрежи, те могат да започнат да се насочват към вашите приятели, да създадат фалшиви акаунти, за да се свързват с тях и да разберат повече за вас чрез лъжи и манипулации.

След като използвате телефонния си номер, за да се идентифицирате онлайн, този акаунт (или услуга или приложение) е неразривно свързан с вашата реална самоличност – което може да има сериозни последици за вашата поверителност онлайн.

Пазете телефонния си номер в безопасност: Какво можете да направите?

Накратко, не използвайте нищо, което ви принуждава да се откажете или да използвате телефонния си номер като идентификатор. Също така, ние го получаваме – това не е лесно, когато повечето приложения все още го правят. Повечето

Телефонните номера са остарели и несигурни. Използването на телефонен номер за осигуряване на вашия онлайн живот дава на злонамерени актьори и дузина различни врати във вашата цифрова идентичност. И благодарение на рециклирането на номера, някой друг може да получи достъп до вашите акаунти напълно случайно!

Време е да намерим по-добри начини да защитим цифровия си живот. Мобилните двойни идентификационни приложения за удостоверяване като Authy и lastPAss Authenticator са стъпка в правилната посока – но дори и тогава, ако някой се хване за устройството, което държи вашето приложение за удостоверяване, може да изпаднете в проблеми.

Фу, това е много! По-добро решение е да държите вашите онлайн акаунти напълно отделени от истинската ви идентичност – без да свързвате телефония си номер, когато можете! Приложението Session прескача изцяло телефонни номера.

Стойността далеч от необходимите приложения и услуги за телефонни номера ще ви помогне да запазите истински сигурността на вашия онлайн и мобилен живот – е по-малък шанс някой да нахлуе в поверителността ви чрез хакване, смяна на SIM, рециклиране на номера или doxxing.

Абонирайте се за нашия бюлетин

За да получавате най-новите корпоративни блокчейн новини.