Εταιρίες διαχείρισης SMS, μπορεί να τα ανακατευθύνουν σε κακόβουλους, με κόστος 16 δολαρίων

[nnn]

Υπάρχει μια πρόσφατα ανακαλυφθείσα επίθεση στα μηνύματα SMS που είναι σχεδόν αόρατη για τα θύματα, και φαινομενικά αποδεκτή από τον κλάδο των τηλεπικοινωνιών, που αποκαλύφθηκε σε μια έκθεση του Motherboard . Η επίθεση χρησιμοποιεί υπηρεσίες διαχείρισης μηνυμάτων κειμένου που χρησιμοποιούνται από επιχειρήσεις, για να ανακατευθύνουν σιωπηλά μηνύματα κειμένου από ένα θύμα σε χάκερ, δίνοντάς τους πρόσβαση σε κωδικούς 2FA ή συνδέσμους σύνδεσης που αποστέλλονται μέσω μηνύματος κειμένου.

Μερικές φορές, οι εταιρείες που παρέχουν την υπηρεσία δεν στέλνουν κανένα μήνυμα στον αριθμό που ανακατευθύνεται, είτε για να ζητήσουν άδεια είτε για να ενημερώσουν τον ιδιοκτήτη ότι τα SMS τους μεταφέρονται τώρα σε κάποιον άλλο. Χρησιμοποιώντας αυτές τις υπηρεσίες, οι εισβολείς όχι μόνο μπορούν να παρακολουθούν εισερχόμενα μηνύματα κειμένου, αλλά μπορούν επίσης να απαντήσουν.

Ο Joseph Cox, ο δημοσιογράφος του Motherboard , έβαλε κάποιον να πραγματοποιήσει επιτυχώς την επίθεση στον αριθμό του, με κόστος μόλις 16 $. Όταν επικοινώνησε με άλλες εταιρείες που παρέχουν υπηρεσίες ανακατεύθυνσης SMS, ορισμένες ανέφεραν ότι είχαν ξαναδεί τέτοια επίθεση στο παρελθόν.

The specific company that Motherboard used has reportedly fixed the exploit, but there are many others like it — and there doesn’t seem to be anyone holding the companies to account. When asked why this type of attack is even possible, AT&T and Verizon simply directed The Verge to contact CTIA, the trade organization for the wireless industry. CTIA wasn’t immediately available for comment, but it told Motherboard that it had “no indication of any malicious activity involving the potential threat or that any customers were impacted.”

Πηγή : The Verge

[K1m0n]

Μια χαρά, γιατί να παιδεύονται οι άνθρωποι με sim-swap ενώ υπάρχει η υπηρεσία έτοιμη?
Φαντάζομαι αμα γίνει ντόρος θα το ελέγξουν.

[YAziDis]

Αυτό που κάποτε ήταν μια διευκόλυνση αλλ πλέον έχει γίνει τρόπος ζωής και επιβεβαίωσης της ταυτότητας ενός ατόμου, θα πρέπει πλέον να περάσει στο νομοθέτη και να πάθουν κάποια μέτρα από τις εταιρίες κινητής τηλεφωνίας. Είχαμε και πρόσφατα περιστατικό εδώ στο φόρουμ όπου εκτός του ότι του υπέκλεψαν κωδικούς, το ανησυχητικό ήταν πως με ένα τηλέφωνο σε εταιρία τηλεφωνίας γνωρίζοντας τα βασικά προσωπικά στοιχεία πραγματοποίησαν προώθηση κλήσεων και μηνυμάτων σε άλλο τηλέφωνο.

Πλέον νομίζω πως οι εταιρίες τηλεφωνίας θα πρέπει να είναι αστακοί όπως πχ οι τράπεζες, από τη στιγμή που μπορείς να βρεθείς αρκετά μπλεγμένος..

[fadasma]

Σιγά σιγά περνάνε στο viber όλοι..

[globalnoise]

Σιγά σιγά περνάνε στο viber όλοι..

Όλοι όταν λες, εννοείς Ελλάδα και Eastern European, γιατί μόνο αυτοί χρησιμοποιούν Viber.

Επίσης όταν έχεις compromised το sms delivery ενός αριθμού, τι σε σταματά από το να ενεργοποιήσεις το Viber όπου αλλού θες;

[balander]

Για να ενεργοποιηθεί το Viber κτλ κάνει πρώτα κλήση στον αριθμό. Πώς θα ενεργοποιηθεί αλλού; Επίσης αν ενεργοποιηθεί αλλού αυτομάτως σε πετάει από το κινητό σου

[keysmith]

χειρότερο ειναι το viber αφού μπαίνεις με έναν κωδικό (singe factor που σου κλέβουν). Για καλό το λέτε το viber? Τσιγκουνια είναι από τις εταιρίες.

αυτά που λέτε για τα sms υπάρχει τετοια εταιρία να το κανει ελλάδα; Δεν νομίζω να μας αφορούν. Ακόμα και ετσι ειναι θεμα πολιτικής. Ας απαγορευθούν αυτές οι υπηρεσίες χωρίς κάποια εξτρα ασφάλεια.

[nnn]

Υπάρχουν ισχυρότατες authenticator apps, γιατί ακόμα "παίζουμε" με το SMS σαν 2FA ?

[YAziDis]

Για να ενεργοποιηθεί το Viber κτλ κάνει πρώτα κλήση στον αριθμό. Πώς θα ενεργοποιηθεί αλλού; Επίσης αν ενεργοποιηθεί αλλού αυτομάτως σε πετάει από το κινητό σου

Καταρχάς στέλνει μήνυμα.
Εδώ μιλάμε όμως πως μπορεί να γίνει προώθηση του αριθμού σου σε άλλο αριθμό. Αν αυτό γίνει, το μήνυμα επιβεβαίωσης πάει στο άλλο νούμερο, όποτε σου ενεργοποιεί και την υπηρεσία.

- - - Updated - - -

Υπάρχουν ισχυρότατες authenticator apps, γιατί ακόμα "παίζουμε" με το SMS σαν 2FA ?

Γιατί σε πολλές θέσεις-υπηρεσίες υπάρχουν μυαλά τα οποία έχουν μείνει πίσω. Δε μπορώ να περιμένω από διοικητικούς 60 χρόνων να συμβαδίζουν με το Ίντερνετ που εξελίσσεται κάθε δευτερόλεπτο, από τη στιγμή που δεν είναι ο τομέας τους.
εμενα αυτή την αίσθηση μου δίνουν.

[konig]

https://twitter.com/evacide/status/1371871381315461121

[tiatrou]

Για να ενεργοποιηθεί το Viber κτλ κάνει πρώτα κλήση στον αριθμό. Πώς θα ενεργοποιηθεί αλλού; Επίσης αν ενεργοποιηθεί αλλού αυτομάτως σε πετάει από το κινητό σου

Δεν ισχύουν αυτά που λες. Πρώτον στέλνει μήνυμα και δεν γίνεται κλήση και δεύτερον μπορείς να το χρησιμοποιείς από δύο συσκευές ταυτόχρονα, όπως εγώ από PC και κινητό, έχοντας επιβεβαιώσει τον κωδικό του SMS.

[aSMiLoN]

Δεν ισχύουν αυτά που λες. Πρώτον στέλνει μήνυμα και δεν γίνεται κλήση και δεύτερον μπορείς να το χρησιμοποιείς από δύο συσκευές ταυτόχρονα, όπως εγώ από PC και κινητό, έχοντας επιβεβαιώσει τον κωδικό του SMS.

Αλλο προφιλ εχει ενα pc ή ενα tablet στο viber και αλλο ενα κινητο. Με το που ενεργοποιησεις το viber σε νεο κινητο απενεργοποιειται απο το παλιο.

[zardoz]

To sim swapping παίζει αφού οι τράπεζες "κατάργησαν" τις γεννήτριες κωδικών OTP.
Το κινητό όλοι το έχουμε δίπλα μας, γιατί να μην είναι η γεννήτρια ΟΤP και απλά να
λαμβάνει το ΟΤP:

Να μια ιδέα:

Σου δινουν την επιλογή να χρησιμοποιήσεις το Smart Phone σου για παραγωγή OTP,
πχ μέσω του Google Authenticator. Το συγρχονίσεις μια φορά, επισκεπτόμενος ένα
ΑΤΜ με την κάρτα σου, ζητώντας QRCode συγχρονισμού.

Και ασφαλές (συγχρονίζει μια φορά, ή τις σπάνιες φορές που ίσως αποσυγχρονίζει)
με την κάρτα ΑΤΜ, και δεν ανησυχείς για sim swapping.