Roubo de contas através do correio de voz

Quando se trata de contas online, o correio de voz é uma grande falha de segurança. Aqui está o porquê.

Quem usa o correio de voz atualmente? “Ninguém” é provavelmente a primeira resposta na boca da maioria das pessoas. Essa resposta é certa e errada. É verdade que poucas pessoas usam o correio de voz agora, mas muitos assinantes móveis têm o serviço - e ainda está em boas condições de funcionamento, mesmo que seja um pouco negligenciado.

 

E lembre-se: só porque você não usa seu correio de voz, não significa que ninguém mais use. Em seu relatório “ Comprometendo contas online ao invadir sistemas de correio de voz ” na DEF CON 26, o pesquisador de segurança Martin Vigo demonstrou que o correio de voz pode ser do interesse de invasores que desejam invadir suas contas online.

 

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

 

Na verdade, a maioria das operadoras permite o acesso à caixa de correio de voz não apenas de seu telefone, mas também usando um número de telefone externo - nesse caso, o acesso é protegido por um PIN. No entanto, os PINs do correio de voz geralmente estão longe de ser seguros. Muitos assinantes usam códigos padrão definidos pela operadora - geralmente os últimos dígitos do número de telefone ou algo simples como 1111 ou 1234.

 

Além disso, mesmo que o assinante se dê ao trabalho de alterar o PIN, a probabilidade de adivinhá-lo ainda é bastante alta: como mostra outra pesquisa, quando se trata de pensar em PINs, as pessoas são ainda menos inventivas do que com as senhas.

 

Em primeiro lugar, é provável que o PIN consista em quatro dígitos, mesmo que seja tecnicamente possível aumentá-lo. Em segundo lugar, muitos usuários optam por strings fáceis de lembrar de quatro dígitos idênticos ou combinações, como 1234, 9876, 2580 (a linha vertical do meio no teclado do telefone) e semelhantes. PINs que começam com 19xx também são muito populares. Conhecer essas peculiaridades torna mais rápido e simples invadir uma caixa de correio de voz.

 

Não há necessidade de vasculhar todas as combinações manualmente - o trabalho pode ser feito por um script que liga para o número do correio de voz e insere diferentes combinações no modo de tom. Isso significa que o correio de voz de força bruta não é apenas possível, mas também com poucos recursos. "E daí?" você pode dizer: “Não há nada de valioso em meu correio de voz”. Ou então você pensa.

 

Como hackear PayPal e WhatsApp por correio de voz

 

Ao redefinir uma senha, muitos dos maiores serviços online oferecem, entre outras opções, ligar para você no número de telefone especificado em seu perfil e fornecer um código de verificação.

 

A tarefa do invasor é simplesmente descobrir o PIN do correio de voz e esperar até que o telefone da vítima seja desligado ou fora de alcance (por exemplo, no modo avião). Em seguida, eles simplesmente iniciam uma redefinição de senha no serviço online e selecionam como opção de verificação uma chamada que irá direto para o correio de voz.

 

Martin Vigo demonstrou como essa técnica pode ser usada para sequestrar uma conta do WhatsApp.

 

Alguns recursos online empregam um processo de verificação ligeiramente diferente: O serviço disca novamente para o número de telefone associado à conta e solicita que o usuário insira os números exibidos na página de redefinição de senha como verificação. Isso pode ser contornado, no entanto, com a ajuda de um truque simples que envolve definir a mensagem de saudação do correio de voz para uma gravação dos tons do teclado que correspondem aos dígitos no código de reinicialização.

 

Um serviço online com este tipo de sistema de verificação é o PayPal. Martin Vigo também decifrou isso com sucesso:

 

Os itens acima são apenas alguns exemplos. Na verdade, muitos outros serviços usam uma chamada de voz automatizada para um número de telefone associado para verificar uma redefinição de senha ou para transmitir um código de autenticação de dois fatores único .

 

Como se proteger contra hackers com base no correio de voz

 

Considere desativar completamente o correio de voz; tem pouco uso prático de qualquer maneira;

Use um PIN seguro, se precisar de correio de voz. Para começar, deve ter mais de quatro dígitos. Quanto mais melhor. Em seguida, a combinação deve ser difícil de adivinhar e, de preferência, aleatória.

Não forneça indiscriminadamente o número de telefone ao qual suas contas online estão associadas. Quanto mais difícil for combinar sua identidade online com um número de telefone, melhor.

Tente não associar o seu número de telefone a um serviço online se não for uma pré-condição ou necessário para a autenticação de dois fatores.

Use a autenticação de dois fatores - de preferência, um aplicativo como o Google Authenticator ou um dispositivo de hardware como o YubiKey.

 

 

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.


Strong

5178 Blog Beiträge

Kommentare