Obter um número de telefone pessoal através da análise e pesquisa de recursos e contas sociais não pode ser fácil, mas se souber como fazer, pode ser um ajuda grande.
Na nossa era de informação, qualquer tecnologia usada por você pode ser potencialmente usada para descobrir seus dados.
Nenhuma exceção é o número de telefone.
No caso abaixo, vamos mostrar como é perigoso usar o link de um único número de telefone para todos os registros online utilizados.
Vamos mostrar-te como é que te permite saber o teu número privado.
A situação descrita abaixo pode parecer trivial no contexto de tais vulnerabilidades, como, por exemplo, foi recentemente descrita pôr um dos usuários do t-Mobile.
Neste caso, o atacante pode ter acesso total aos dados pessoais de qualquer assinante t-Mobile, Tim, Claro ou Vivo, simplesmente baseado no seu número de telefone.
Estes dados incluíam o:
1) Estado do número
2) Data de registo,
3) Aimsi de código,
4) O endereço de e-mail,
5) As respostas a perguntas secretas,
6) Mesmo os dados relativos à data da última alteração da senha de acesso à conta.
Todas estas informações tornaram fácil iniciar o processo de substituição do cartão sim, após o qual o intruso recebeu praticamente acesso total ao telefone, poderia fazer:
1) Chamadas,
2) Enviar e receber mensagens, etc.
Não, o método descrito abaixo não vai abordar um ataque com tanta violação.
Será mais fácil e mais próximo da vida real.
Inteligência :
Um dos jovens desenvolvedores do popular recurso xda, um dos desenvolvedores foi selecionado para demonstrar essa vulnerabilidade.
Neste Fórum de recursos, os autores publicam frequentemente informações suficientes sobre si, mesmas do que nós vamos usar.
Vamos dizer que o programador não se magou no fim e foi notificado dos seus problemas de segurança antes de escrever este artigo.
A vulnerabilidade também foi verificada no residente dos Estados Unidos, que também foi posteriormente notificada antes do artigo ser escrito.
Primeiro, o intruso determina a localização da vítima.
Esta parte é extremamente simples, muitos escrevem seus países e até cidades em perfis de redes sociais, incluindo o facebook.
No nosso caso, o desenvolvedor não escondeu que ele era da Coreia do Sul e estava mesmo orgulhoso de lá, e um dos Estados Unidos residente ativamente mostrando as características da vida em Nova York.
Além disso, o atacante irá exigir o endereço electrónico da vítima, o que também não é um problema na maioria dos casos.
Depois destes preparativos, o hacker vai para a página "LOST PASSWORD" no facebook e especifica o endereço de e-mail ou nome de utilizador da vítima.
Se estes dados corresponderem ao utilizador existente da rede social, e a vítima indicou o número de telefone como meio de restaurar a senha, vamos ver os dois últimos dígitos deste número:
A nossa vítima listou o Paypal como uma fonte de encorajamento para o seu trabalho em xda.
A vítima de Nova York também postou ativamente no facebook a experiência de compras no Ebay e também tinha uma conta Paypal.
Visite este site e tente redefinir a senha inserindo o endereço de e-mail da vítima:
Temos mais quatro números.
Tendo estudado cuidadosamente as atividades da vítima com a xda, sabemos que ela é muito ativa no desenvolvimento utilizando as últimas redes 4 G.
Com base em fontes abertas, conclui-se que o número da vítima começa às 010.
No caso de um residente dos Estados Unidos, o conhecimento da cidade, a localização da vítima também reduziu significativamente o número de códigos possíveis, como o resultado do nosso trabalho, temos apenas três dígitos do número de telefone a ser encontrado, os primeiros três dígitos.
Normalmente, a lista de tais combinações não é particularmente grande e, em alguns casos, mesmo disponível publicamente, especialmente no que respeita aos EUA:
Finalmente, o atacante terá que enviar manualmente e verificar os números de telefone da lista na página de login do facebook até que o nome completo da vítima seja encontrado ou o email de busca seja exibido, confirmando o número do número:
Deve ser notado que você pode automatizar esta parte do processo com um script em python.
Então o intruso pode obter o número de telefone pessoal da vítima.
É igualmente possível verificar se o número de telefone da vítima é propriedade de outros métodos que utilizam fontes abertas.
Por exemplo, se o facebook não definir uma opção específica, o teu nome completo e a tua foto de perfil são apresentados a qualquer pessoa que envie o teu endereço de e-mail ou número de telefone na página da palavra.
Da mesma forma, o recurso "Esqueceu-se do endereço de e-mail" é mostrado O correio?
" Do Google permite-lhe verificar o nome do número de telefone:
Conclusões:
Assim, o atacante usa o facebook para determinar a localização da vítima, assim como os dois últimos dígitos do número de números usado pelo Paypal para determinar números adicionais do número de telefone também confirma a confiabilidade dos dados do Facebook.
A localização e o primeiro número do número são determinados pelo código da região ou versões deste código.
Os restantes valores em falta são determinados por um simples exagero que pode ser reduzido de acordo com as regras do número de um determinado operador.
Estes números estão incluídos no formulário "senha perdida" do facebook antes de mostrar o nome da vítima ou o seu endereço de e-mail conhecido.
Os Sites acima são selecionados apenas para demonstrar a possibilidade de procurar e selecionar um número de telefone.
De facto, tais fontes de informação são bastante grandes, e nem todos limitam a possibilidade de busca automática de kapčej - e, portanto, os scripts permitem ser re-estabelecidos e encontrados em pouco tempo.
A proteção do sistema de sinais de ataque é o uso de diferentes números de telefone quando se regista em diferentes recursos ou limitando a possibilidade de usar números de telefone para restaurar a senha, acesso ao recurso, etc.
Se o material de alguém pareceu interessante o suficiente para ser capaz de lidar com a segunda parte, sobre os riscos de usar salas virtuais para receber sms quando se regista em recursos da internet, então bem-vindo aqui.
