Da Twitter die Zwei-Faktor-Authentifizierung für Textnachrichten   , dachte ich, dass es Spaß machen würde, tiefer in die Funktionsweise von SMS-Betrug einzutauchen und wie sich App-Entwickler davor schützen können. deaktiviert  Es ist eine faszinierende Geschichte über perverse Anreize, kurzsichtige Regulierung und technischen Einfallsreichtum.  Lasst uns eintauchen! 👇  Premium-Nummern  Lassen Sie uns zunächst die jüngste Ankündigung von Twitter zusammenfassen:   https://twitter.com/TwitterSupport/status/1626757587524890624?embedable=true  Im Klartext bedeutet dies einfach, dass nur Nutzer der kostenpflichtigen Version von Twitter beim Login einen Code an ihr Telefon gesendet bekommen.  Der Schlüssel zum Verständnis von SMS-Betrug liegt darin, zu verstehen, dass es sich bei einigen Nummern um   Nummern handelt. Wenn Sie diese Nummer anrufen oder eine SMS an sie senden möchten, kostet   das etwas Geld – normalerweise mehrere zehn Cent – und der Inhaber der Nummer erhält einen Teil dieser zehn Cent für sich. Premium- Sie  Besitzer dieser Telefonnummern bieten in der Regel legitime Dienste an, deren Bereitstellung Geld kostet und die ihren Nutzern einen Mehrwert bieten, wie etwa Tele-Voting, Dating und technischen Support.  Diese Zahlen können jedoch leicht ausgenutzt werden, um Gewinn zu erzielen 🤑  SMS-Betrug  Ein schlechter Schauspieler, nennen wir ihn   , ergattert mehrere Premium-Telefonnummern[1]. Bob könnte ein Hacker oder ein kaputter Mobilfunknetzbetreiber sein. Bob  Bob findet einen Webdienst, der Textnachrichten an seine Premium-Telefonnummern sendet. Bei diesen Nachrichten kann es sich um Zwei-Faktor-Authentifizierungscodes, Einmalpasswörter oder jede andere Textnachricht handeln, die im Rahmen des Dienstes an den Benutzer gesendet wird (z. B. sendet   Ereigniserinnerungen per SMS). partiful.com  Bob findet einen Weg, den Dienst dazu zu bringen,   von SMS an seine Premium-Telefonnummern zu senden. Das könnte sehr einfach sein. Der Front-End-Dienst lässt sich möglicherweise leicht manipulieren und die Backend-Endpunkte sind möglicherweise ungeschützt und können leicht zurückentwickelt werden. Tausende  Schlimmer noch: Viele Dienste nutzen einen standardisierten Endpunkt für den SMS-Versand. Dies macht es für Bob wesentlich einfacher, Websites zu finden, die angegriffen werden können. Wenn der Dienst beispielsweise einen Drittanbieter zur Authentifizierung von Benutzern und zum Versenden von 2FA- oder OTP-Codes wie Auth0 nutzt, ist der Endpunkt für den SMS-Versand größtenteils bekannt: Bob muss lediglich einen Weg finden, die Auth0s zu ermitteln ID für einen Webdienst (ziemlich einfach, da das Frontend des Webdiensts eine Anfrage mit dieser ID stellt), und dann können sie   Websites angreifen, die diesen Drittanbieterdienst nutzen. alle  Schließlich lässt Bob den Dienst Tausende von SMS an seine Premium-Telefonnummern senden. Der Webdienst verliert 💵💵💵 und Bob profitiert.  Schutz vor SMS-Betrug  Es gibt kein Allheilmittel, um SMS-Betrug zu verhindern. Aber hier sind ein paar Ideen, die funktionieren könnten:  Wenn Sie einen Drittanbieterdienst zur Authentifizierung von Benutzern verwenden, z. B. Auth0, können Sie den Endpunkt verschleiern, der zum Senden von SMS verwendet wird. Dadurch wird ein Angriff zwar nicht vollständig verhindert, es wird jedoch deutlich schwieriger, festzustellen, ob ein Angriff möglich ist.  Ähnlich wie ein Fahrraddieb die am einfachsten zu stehlenden Fahrräder ins Visier nimmt, würde ein guter Hacker auf Webdienste ausweichen, die leichter zu hacken sind. Meiner Vermutung nach würde dieser Ansatz für die   -Apps gut genug funktionieren. Longtail  Blockieren Sie alle Anfragen von IPs, die von Cloud-Anbietern oder betrügerischen ISPs stammen oder auf andere Weise fragwürdig sind. Dies sollte relativ einfach zu implementieren sein – es gibt viele Dienste, mit denen Sie die Qualität einer IP-Adresse bewerten können – und wäre wahrscheinlich sehr effektiv.  Fügen Sie dem Endpunkt, der SMS sendet, eine IP-basierte   hinzu, um Bobs Angriff zu blockieren. Bei korrekter Einrichtung hat dies keine Auswirkungen auf legitime Benutzer. Dies funktioniert jedoch nur gegen einen einfachen Angriff. Wenn Bob seinen Angriff so gestalten würde, dass er Anfragen von verschiedenen IP-Adressen sendet – ein   Angriff –, würde dies nicht funktionieren. Ratenbegrenzung verteilter  Senden Sie eine SMS nur wenige Male an eine bestimmte Telefonnummer, bevor Sie diese Telefonnummer für eine Bedenkzeit sperren. Wir könnten dies am Front-End tun, aber wenn Bob entschlossen ist, könnte er stattdessen den Backend-Endpunkt herausfinden, den er angreifen soll. Das Blockieren der Telefonnummer im Backend ist schwieriger: Es erfordert die Aufzeichnung der Telefonnummern und ihrer letzten Anmeldeversuche[2].  Zwingen Sie den Benutzer, ein CAPTCHA zu lösen, bevor Sie ihm eine SMS senden. Während dieser Ansatz beim Blockieren von Angreifern gut funktioniert – das Lösen des CAPTCHAs ist in großem Umfang schwierig und teuer – beeinträchtigt er jedoch die Erfahrung des Benutzers mit dem Dienst.  Identifizieren und blockieren Sie   -Telefonnummern mit   . Obwohl dies vielversprechend erscheint, weiß ich nicht, wie zuverlässig die Daten sind und wie effektiv dieser Ansatz ist. Premium libphonenumber  Senden Sie Textnachrichten nur an kostenpflichtige Konten. Dies ist der Ansatz, den Twitter gewählt hat. Es ist keine schlechte Option, aber wie Sie der obigen Liste entnehmen können, gibt es viele andere Ansätze, die Sie verfolgen können.  Blockieren Sie Mobilfunknetzbetreiber mit einer hohen Anzahl betrügerischer Nutzer. Dies würde eindeutig schlechte Netzwerkbetreiber blockieren, würde aber nicht gut funktionieren, wenn das Netzwerk viele legitime Benutzer hat.  Verwenden Sie stattdessen WhatsApp, um Nachrichten zu senden. WhatsApp ist im Gegensatz zu SMS kostenlos, aber nicht alle Benutzer auf der ganzen Welt nutzen WhatsApp[3].  Eine gute Lösung wäre es, genügend der oben genannten Ansätze zu nutzen und nach Zeitaufwand und Effektivität zu priorisieren, bis die Angreifer sich einfacheren Zielen zuwenden.  Ich habe einige persönliche Erfahrungen mit der Umsetzung der oben genannten Maßnahmen und kann ein oder zwei Geschichten darüber erzählen, wie mein Team mit den Folgen umgegangen ist. Aber das ist eine Geschichte für ein anderes Mal… 👨‍💻  Blockieren Sie SMS-Betrug an der Quelle  Das bringt mich zu meinem letzten Punkt:  Meiner Meinung nach hat Twilio – eine dominierende SMS-API – eine große Chance, SMS-Betrugsschutz als (kostenloses? 🙏) Add-on zu seinen Standard-APIs anzubieten.  Da Twilio über Daten zu betrügerischen Telefonnummern und Mobilfunkanbietern in allen seinen Konten verfügt, ist Twilio in der einzigartigen Position, fehlerhafte Nummern und Mobilfunkanbieter   zu blockieren – bevor sie für mehrere Webdienste zu einem großen Problem werden. schnell  Twilio kann mithilfe von   – einem Authentifizierungsmechanismus der nächsten Generation – sogar ungültige Telefonnummern direkt erkennen, und es scheint, dass dieses Dienstprogramm von allen Benutzern   genutzt werden sollte. Silent Network Auth gemeinsam  Ich würde gerne weitere Gedanken, Ideen und Ansätze hören, die die Leute verwendet haben – teilen Sie sie bitte mit, indem Sie unten einen Kommentar schreiben, dann können wir alle lernen.  Das war’s fürs Erste – schützen Sie diese Endpunkte und wünschen Ihnen eine tolle Woche!   Es gibt eine   auf HackerNews. ausgezeichnete Diskussion  [1] Beachten Sie, dass diese Premium-Telefonnummern nicht einmal funktionieren müssen: Sie müssen nicht mit einer funktionierenden und bei einem Telefon registrierten SIM-Karte verbunden sein. Solange sie weitergeleitet werden können, können sie bei diesem Angriff verwendet werden.  [2] Ich bin gespannt, ob es eine gute Datenstruktur und einen guten Algorithmus gibt, um dies effizient und maßstabsgetreu zu gestalten. Bitte teilen Sie es mit, wenn Sie eines kennen!  [3] Dank geht an @csharpminor auf HN für ihren   . Vorschlag   Ich bin   , CTO von koodos und Ingenieur. Apu   Dieser Beitrag   – abonnieren Sie ihn für mehr Likes! erschien ursprünglich auf meinem persönlichen Blog

This story contains new, firsthand information uncovered by the writer.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding your health or security. (Do not regard any of this content as professional investment advice, or health advice)

Wie SMS-Betrug funktioniert und wie man sich davor schützt

About Author

KOMMENTARE

Hängeetiketten

DIESER ARTIKEL WURDE VORGESTELLT IN

Related Stories

Welcome to HackerNoon Decoded: The Best of 2024 Tech Blogging

HackerNoon Decoded 2024: Celebrating Our Tech Stories Community!

HackerNoon Decoded 2024: Celebrating Our Management Community!

HackerNoon Decoded 2024: Celebrating Our Life Hacking Community!

Welcome to HackerNoon Decoded: The Best of 2024 Tech Blogging

HackerNoon Decoded 2024: Celebrating Our Tech Stories Community!

HackerNoon Decoded 2024: Celebrating Our Management Community!

HackerNoon Decoded 2024: Celebrating Our Life Hacking Community!

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps