Abbiamo tutti sentito parlare di attacchi di phishing, ma un nuovo tipo di social engineering “hack” che utilizza il telefono cellulare per ingannare l’utente è un po ‘ di paura.
Mi sono imbattuto in un video di Symantec che spiega un nuovo modo in cui gli aggressori stanno cercando di entrare nel tuo account di posta elettronica. L’idea è semplice: se si desidera reimpostare la password di qualcuno, tutto ciò di cui si ha realmente bisogno è il loro numero di cellulare.,y sta per ricevere un codice per garantire il loro account Google è sicuro e chiedendo loro di rispondere con il codice per confermare
Prima ho visto il video, non avevo mai pensato ad un metodo utilizzato per ottenere in qualcuno account.,
Quando avevo immaginato un hacker che utilizzava l’ingegneria sociale per entrare nel mio account, li avevo immaginati chiamare un help desk per ingannarli nel dare le mie informazioni o semplicemente inviarmi un’e-mail di phishing.
Per qualche ragione, questo è un trucco pericolosamente potente che anche io probabilmente sarei caduto se non ne avessi sentito parlare.
La maggior parte delle persone probabilmente risponderebbe a un numero sconosciuto semplicemente supponendo che sia davvero l’azienda, perché ricevere messaggi da aziende su numeri sconosciuti non è così raro.,
Con l’avvento di servizi come Twilio e Nexmo che consentono di inviare un messaggio direttamente dal computer con poche tracce, rende molto più facile per orchestrare questo tipo di attacco, date le giuste competenze.
Mi chiedevo se potesse essere portato al livello successivo — alcuni servizi in realtà consentono di inviare un messaggio di testo che si identifica come una società o una persona sul telefono della vittima — così deciso di inviare un messaggio a me stesso con un nome familiare piuttosto che un numero sconosciuto.,
Entro dieci minuti dalla partenza per provarlo, mi ero inviato un messaggio di testo dal terminale del mio Mac in posa come Google. È facile come assumere qualsiasi altro nome di azienda semplicemente cambiando una parola nel comando.
Questo è più che sufficiente per ingannare anche alcune delle persone più intelligenti a rispondere con il loro codice di verifica, in ultima analisi, che si lascia nei loro conti., È banale inviare un messaggio con il nome di qualsiasi azienda, quindi questo potrebbe essere usato per attaccare molti servizi.
Questo attacco potrebbe anche essere utilizzato per aggirare i servizi che utilizzano l’autenticazione a due fattori, anche se vale la pena notare che Google non invierà un SMS per il secondo fattore se è già impostato.
Il problema con questo tipo di attacco è che è relativamente difficile da fermare, al di fuori di educare le persone a non rispondere mai a qualsiasi tipo di SMS che chiede una password o un codice di autenticazione.,
Molti servizi ora si basano sull’invio di un SMS per verificare l’identità dell’utente se hai dimenticato la password, dal momento che un telefono è un dispositivo intimo che è più probabile che sia con te. Questo tipo di attacco di ingegneria sociale mostra che è ancora incredibilmente facile ingannare le persone che non hanno modo di conoscere meglio.
Se ricevi un messaggio da qualsiasi numero che richiede la tua password, login, codice di conferma o qualsiasi altra informazione personale, ti invitiamo a non rispondere. Non c’è semplicemente alcun motivo per le aziende di essere chiedendo che — o qualsiasi altra informazione-su SMS.
