Como roubar um número de telefone (e tudo relacionado a ele)

Alguém se passando por você para um funcionário da AT&T ou da Verizon não é a única coisa com que você precisa se preocupar. Conheça o Signaling System 7, o melhor amigo de um hacker.

Como roubar um número de telefone (e tudo relacionado a ele)

Na primavera passada, Dena Haritos Tsamitis saiu de uma reunião de trabalho para descobrir que não conseguia sinal no celular. Mesmo depois de reiniciar o dispositivo, ela não conseguiu obter serviço, o que a impediu de entrar em contato com sua filha universitária, que geralmente se comunicava com ela ao longo do dia.

Ela estava frenética, preocupada comigo, porque havia tentado me contatar várias vezes, Tsamitis diz que soube ao chegar em casa. Ela disse que ligou para a amiga para buscá-la para me procurar, porque ela estava preocupada comigo.

Tsamitis ligou para sua companhia telefônica para obter ajuda com o problema, apenas para descobrir que havia sido vítima de uma fraude.



O representante do atendimento ao cliente disse: você comprou novos telefones no início desta tarde e, portanto, cortamos o serviço do telefone antigo, diz Tsamitis. E eu disse, não, não disse, estive em reuniões esta tarde.

Quando se trata de segurança digital, Tsamitis está longe de ser uma amadora: ela é professora da Carnegie Mellon University, diretora do Information Networking Institute da escola e diretora fundadora do CMU’s CyLab instituto de segurança e privacidade. No entanto, ainda era fácil para criminosos armados com identidades falsas comprar novos dispositivos e cobrá-los em sua conta, um problema que não foi resolvido até que ela passou horas no telefone com sua operadora e até mesmo visitou uma das lojas de varejo da empresa.

horas para dominar uma habilidade

É muito frustrante, e a operadora realmente não teve uma resposta ou orientação adequada quanto às etapas que posso tomar, diz ela. Eu estava oprimido e frustrado com o número de horas que levei para lidar com isso.

E embora os fraudadores que atacaram o Tsamitis possam simplesmente estar procurando roubar hardware, outras vítimas de crimes semelhantes viram os invasores também sequestrarem outros logins vinculados a seus números de telefone. Os criminosos que podem enganar ou hackear as empresas de telefonia para permitir que eles acessem contas de clientes legítimos podem usar ferramentas de redefinição de senha baseadas em mensagem de texto para obter acesso a e-mails privados, mídia social e até contas financeiras.

Fui hackeado hoje: minha conta do Twitter, dois endereços de e-mail e meu telefone, escreveu o ativista do Black Lives Matter DeRay McKesson no Twitter último Junho. Não foi por causa de senhas, eles invadiram minha própria conta de telefone.

Ligando para sua companhia telefônica, os hackers foram capazes de se passar por McKesson, ter seu número de telefone atribuído a um novo cartão SIM sob seu controle e usá-lo para redefinir sua senha do Twitter por meio de autenticação baseada em texto, escreveu ele. Em seguida, eles postaram vários tweets em sua conta, incluindo um endossando Donald Trump para presidente.

Ele não é a única vítima proeminente de tal ataque: o popular host do YouTube conhecido como Boogie2988, conhecido por seus vídeos virais sob o nome de Francis, escreveu em Médio no outono passado, que um hacker adolescente usou uma técnica semelhante. O hacker enganou um funcionário da Verizon para redirecionar o número de telefone do Boogie2988 para o telefone do hacker, o que permitiu que o hacker assumisse o controle do e-mail do Boogie2988, YouTube, mídia social e até mesmo contas do PayPal.

site namoro gay para adolescentes

O PayPal foi invadido, mas felizmente eles conseguiram congelar os ativos quando perceberam que algo estava errado, escreveu ele. Eu tinha sido bloqueado em minha própria conta e levei horas no telefone para recuperar o acesso.

Outras contas levaram semanas para se recuperar, escreveu a estrela do YouTube, que não respondeu a vários pedidos de comentários. E enquanto ele e Tsamitis foram hackeados por criminosos que enganaram funcionários de companhias telefônicas individuais, outros criminosos realizaram atos semelhantes explorando falhas de segurança em redes de companhias telefônicas. No início deste ano, hackers supostamente esvaziaram contas bancárias alemãs interceptando códigos de confirmação de login enviados por texto, direcionando os computadores da companhia telefônica a encaminhar os textos para seus próprios sistemas.

Conheça o Signaling System 7, o melhor amigo de um hacker

O ataque, e outros semelhantes, contou com uma rede mundial de computadores esotérica conhecida como Sistema de Sinalização 7 . É essencialmente uma Internet paralela de décadas usada por empresas de telefonia para rotear chamadas e mensagens de texto entre seus sistemas, e os especialistas dizem que foi construída com pouca atenção à segurança, já que historicamente as empresas de telefonia presumiam que podiam confiar umas nas outras.

Na década de 1980, esta é a AT&T, eles estão fazendo um acordo de interconexão com a British Telecom no Reino Unido, diz Dawood Ghalaieny, CEO da empresa de segurança de telecomunicações de Dublin Cellusys . Eles não têm nenhum motivo para que a BT os defraude.

Mas na era da telefonia, o número de empresas com acesso à rede global de telefonia explodiu e nem todas as empresas de telefonia têm o mesmo nível de segurança.

Muitas dessas companhias telefônicas possuem sistemas conectados tanto à Internet tradicional quanto ao sistema de sinalização telefônica. E como todos os sistemas conectados à Internet, eles podem ser comprometidos por hackers que detectam falhas de segurança como software desatualizado com vulnerabilidades ou disparam ataques de phishing direcionados às caixas de entrada dos funcionários.

Por meio desses hacks, ou se um funcionário inescrupuloso permitir o acesso, os fraudadores podem enviar mensagens pela rede de sinalização telefônica, se passando por empresa invadida. Eles entram em contato com a operadora da vítima, alegando falsamente que a vítima está viajando e usando seu telefone na rede da empresa invadida. Em seguida, a companhia telefônica da vítima irá rotear as chamadas e textos recebidos da vítima para a rede hackeada. Lá, em vez de serem entregues no telefone da vítima, eles são repassados ​​para os hackers. Como os sistemas de sinalização de telefone são projetados para facilitar o roaming nas redes e foram construídos sem esse tipo de fraude em mente, os hackers podem roubar mensagens até mesmo de algumas das empresas de telefonia mais seguras digitalmente, invadindo uma operadora mais fraca em outro lugar do mundo .

com que idade os brinquedos que nós alugamos

E embora os ataques teóricos ao sistema SS7 tenham sido discutidos em conferências de segurança de computadores durante anos - especialistas em segurança de computadores até trabalharam com o deputado Ted Lieu, um congressista democrata da Califórnia, para demonstrar a técnica ano passado em 60 minutos –As companhias telefônicas tiveram dificuldade em resolver o problema.

[Foto: usuário do Flickr Eric Kim ]

777 número do anjo
A segurança nunca deveria fazer parte disso, então aplicar a segurança em cima de tudo isso é um pouco como um hack, diz Ghalaieny. As companhias telefônicas estão gradualmente adicionando ferramentas semelhantes a firewalls de internet que podem filtrar solicitações suspeitas. Por exemplo, eles podem perceber se um telefone é repentinamente alegado estar conectado a uma rede do outro lado do mundo de onde estava operando recentemente e, em seguida, alertar as equipes de segurança ou bloquear a solicitação como claramente fraudulenta, diz ele. E as operadoras e seus fornecedores de segurança podem procurar padrões incomuns de solicitações que possam indicar fraude, assim como em outras áreas da segurança digital.

Você procura assinaturas, se estiver vendo certos padrões, você os interrompe proativamente ou notifica [funcionários de segurança] para que não aconteçam novamente, diz Pardeep Kohli, CEO da empresa de software de telecomunicações da área de Dallas Mavenir .

Quão segura é a autenticação de dois fatores na era das invasões de telefones?

Para manter os dados protegidos contra hacks e fraudes da companhia telefônica, muitos especialistas aconselham deixar de usar a autenticação baseada em SMS sempre que possível. As mensagens de texto comuns ganharam popularidade recentemente como parte da autenticação de dois fatores, em que os usuários fazem login nos sistemas usando duas provas de identidade, como o conhecimento de uma senha e a posse de um item físico. Os caixas eletrônicos, que exigem um cartão e uma senha para sacar dinheiro, são um exemplo clássico. Atualmente, muitos serviços online exigem que os usuários digitem uma senha e também um número PIN enviado por mensagem de texto para seus dispositivos móveis antes de fazerem logon em um serviço baseado na Internet. Mas o Instituto Nacional de Padrões e Tecnologia ano passado parou de recomendar SMS para a prática de dois fatores, graças ao risco de hackers de telefone obter acesso a esses textos .

Algumas empresas agora oferecem abordagens alternativas, incluindo ferramentas como o Google Autenticador que usam algoritmos seguros para gerar códigos no telefone de um usuário em vez de enviá-los por ondas aéreas e aplicativos que enviam códigos de login por conexões criptografadas para que os invasores não possam lê-los, mesmo que os interceptem.

Sistemas como o que temos no Duo são muito mais seguros porque essencialmente o que eles fazem é verificar com quem estão falando e, na verdade, validam que estão falando com o dispositivo certo, diz Steve Manzuik, diretor de pesquisa de segurança da two-factor provedor de autenticação Duo Security . O aplicativo do Duo, como o Google Authenticator e alguns outros aplicativos, usa uma chave digital secreta que é armazenada apenas em seu telefone para gerar códigos de login únicos que os servidores do Duo podem verificar vieram de seu dispositivo, sem a necessidade de enviar mensagens de texto para frente e para trás.

Sistemas semelhantes são cada vez mais usados ​​por instituições financeiras para verificar usuários de aplicativos bancários, além de apenas verificar suas senhas, diz ele.

Mas embora não haja dúvidas de que a verificação baseada em texto pode ser vulnerável a hacks e golpes, Manzuik argumenta que, nos casos em que é tudo o que os provedores oferecem, ainda é melhor do que simplesmente usar senhas.

Definitivamente, é arriscado, mas também depende do seu modelo de ameaça pessoal, diz ele. Para a pessoa média, acho que ter SMS é muito melhor do que não ter nada.