paint-brush
एसएमएस धोखाधड़ी कैसे काम करती है और इससे कैसे बचाव करेंद्वारा@apuchitnis
573 रीडिंग
573 रीडिंग

एसएमएस धोखाधड़ी कैसे काम करती है और इससे कैसे बचाव करें

द्वारा Apurva Chitnis
Apurva Chitnis HackerNoon profile picture

Apurva Chitnis

@apuchitnis

writing about entrepreneurship and software eng. prev @join_ef, eng and...

5 मिनट read2023/08/01
Read on Terminal Reader
Read this story in a terminal
Print this story

बहुत लंबा; पढ़ने के लिए

ट्विटर द्वारा टेक्स्ट संदेश दो-कारक प्रमाणीकरण को अक्षम करने के साथ, मैंने सोचा कि एसएमएस धोखाधड़ी कैसे काम करती है और ऐप डेवलपर्स इससे कैसे बच सकते हैं, इस पर गहराई से विचार करना मजेदार होगा। यह विकृत प्रोत्साहनों, अदूरदर्शी विनियमन और तकनीकी सरलता की एक दिलचस्प कहानी है। चलो खोदो! 👇
featured image - एसएमएस धोखाधड़ी कैसे काम करती है और इससे कैसे बचाव करें
Apurva Chitnis HackerNoon profile picture
Apurva Chitnis

Apurva Chitnis

@apuchitnis

writing about entrepreneurship and software eng. prev @join_ef, eng and prod strategy @improbableio, @Cambridge_Eng

0-item
1-item
2-item

STORY’S CREDIBILITY

Original Reporting

Original Reporting

This story contains new, firsthand information uncovered by the writer.

Guide

Guide

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

DYOR

DYOR

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding your health or security. (Do not regard any of this content as professional investment advice, or health advice)

ट्विटर द्वारा टेक्स्ट संदेश दो-कारक प्रमाणीकरण को अक्षम करने के साथ, मैंने सोचा कि एसएमएस धोखाधड़ी कैसे काम करती है और ऐप डेवलपर्स इससे कैसे बच सकते हैं, इस पर गहराई से विचार करना मजेदार होगा।


यह विकृत प्रोत्साहनों, अदूरदर्शी विनियमन और तकनीकी सरलता की एक आकर्षक कहानी है।

चलो खोदो! 👇

प्रीमियम नंबर

आरंभ करने के लिए, आइए ट्विटर की हालिया घोषणा को दोबारा याद करें:

सरल अंग्रेजी में, इसका सीधा सा अर्थ यह है कि केवल ट्विटर के भुगतान किए गए संस्करण के उपयोगकर्ताओं को लॉगिन के दौरान उनके फोन पर एक कोड भेजा जाएगा।


एसएमएस धोखाधड़ी को समझने की कुंजी यह समझना है कि कुछ नंबर प्रीमियम हैं। यदि आप इस नंबर पर कॉल करना या एसएमएस भेजना चाहते हैं, तो इसके लिए आपको कुछ पैसे खर्च करने होंगे - आम तौर पर दसियों सेंट - और नंबर के मालिक को उन दसियों सेंट का एक हिस्सा अपने लिए मिलता है।


इन फोन नंबरों के मालिक आम तौर पर वैध सेवाएं प्रदान करते हैं जिनकी आपूर्ति करने और अपने उपयोगकर्ताओं को मूल्य प्रदान करने के लिए पैसे खर्च होते हैं, जैसे टेली-वोटिंग, डेटिंग और तकनीकी सहायता।


हालाँकि, आसान लाभ के लिए इन नंबरों का उपयोग किया जा सकता है

एसएमएस धोखाधड़ी

एक बुरा अभिनेता, हम उसे बॉब कह सकते हैं, कई प्रीमियम फोन नंबर हासिल कर लेता है[1]। बॉब एक हैकर हो सकता है, या एक ख़राब मोबाइल फ़ोन नेटवर्क ऑपरेटर हो सकता है।


बॉब को एक वेब सेवा मिलती है जो उसके प्रीमियम फोन नंबरों पर टेक्स्ट संदेश भेजेगी। ये संदेश दो-कारक प्रमाणीकरण कोड, एक बार पासवर्ड, या सेवा के हिस्से के रूप में उपयोगकर्ता को भेजा गया कोई अन्य टेक्स्ट संदेश हो सकता है (उदाहरण के लिए पार्टिफुल.कॉम एसएमएस के माध्यम से ईवेंट अनुस्मारक भेजता है)।


बॉब ने सेवा द्वारा उसके प्रीमियम फोन नंबरों पर हजारों एसएमएस भेजने का एक तरीका ढूंढ लिया। यह बहुत आसान हो सकता है. फ्रंट एंड सर्विस में हेरफेर करना आसान हो सकता है, और बैकएंड एंडपॉइंट असुरक्षित हो सकते हैं और रिवर्स-इंजीनियर करना आसान हो सकता है।


इससे भी बदतर, कई सेवाएँ एसएमएस भेजने के लिए एक मानकीकृत समापन बिंदु का उपयोग करती हैं। इससे बॉब के लिए हमला करने के लिए साइट ढूंढना काफी आसान हो जाता है। उदाहरण के लिए, यदि सेवा उपयोगकर्ताओं को प्रमाणित करने और Auth0 जैसे 2FA या OTP कोड भेजने के लिए किसी तीसरे पक्ष का उपयोग करती है, तो एसएमएस भेजने का समापन बिंदु ज्यादातर ज्ञात होता है: बॉब को केवल Auth0 की खोज करने का एक तरीका खोजने की आवश्यकता होती है एक वेब सेवा के लिए आईडी (काफी आसान है, क्योंकि वेब सेवा का फ्रंट-एंड इस आईडी से युक्त एक अनुरोध करता है), और फिर वे उस तृतीय पक्ष सेवा का उपयोग करने वाली सभी साइटों पर हमला कर सकते हैं।


अंततः, बॉब इस सेवा से अपने प्रीमियम फोन नंबरों पर हजारों एसएमएस भेजता है। वेब सेवा 💵💵💵 खोती है, और बॉब लाभ कमाता है।

एसएमएस धोखाधड़ी से बचाव

एसएमएस धोखाधड़ी को रोकने के लिए कोई एक उपाय नहीं है। लेकिन यहां कुछ विचार हैं जो काम कर सकते हैं:

  • यदि उपयोगकर्ताओं को प्रमाणित करने के लिए Auth0 जैसी तृतीय-पक्ष सेवा का उपयोग किया जाता है, तो आप एसएमएस भेजने के लिए उपयोग किए जाने वाले समापन बिंदु को अस्पष्ट कर सकते हैं। हालाँकि यह किसी हमले को पूरी तरह से नहीं रोक पाएगा, लेकिन इससे यह पता लगाना बहुत कठिन हो जाता है कि कोई हमला संभव है।

    जिस तरह एक बाइक चोर बाइक चुराने के लिए सबसे आसान लक्ष्य को निशाना बनाता है, उसी तरह एक अच्छा हैकर उन वेब सेवाओं की ओर रुख करेगा जिन्हें हैक करना आसान है। मेरा अनुमान है कि यह दृष्टिकोण ऐप्स की लंबी श्रृंखला के लिए काफी अच्छा काम करेगा।

  • आईपी से आने वाले सभी अनुरोधों को ब्लॉक करें जो क्लाउड प्रदाताओं, धोखाधड़ी वाले आईएसपी से उत्पन्न होते हैं, या अन्यथा अधूरे हैं। इसे लागू करना काफी सरल होना चाहिए - कई सेवाएँ मौजूद हैं जो आपको आईपी पते की गुणवत्ता को रेट करने की अनुमति देती हैं - और संभवतः बहुत प्रभावी होंगी।

  • अंतिम बिंदु पर आईपी-आधारित दर-सीमित जोड़ें जो बॉब के हमले को रोकने के लिए एसएमएस भेजता है। यदि सही तरीके से सेट किया गया है, तो यह वैध उपयोगकर्ताओं को प्रभावित नहीं करेगा। हालाँकि, यह केवल एक साधारण हमले के विरुद्ध ही काम करता है। यदि बॉब अपने हमले को विभिन्न आईपी पतों से अनुरोध भेजने के लिए तैयार करता है - एक वितरित हमला - तो यह काम नहीं करेगा।

  • किसी विशिष्ट फ़ोन नंबर को कूल-ऑफ़ अवधि के लिए ब्लॉक करने से पहले केवल कुछ ही बार एसएमएस भेजें। हम इसे फ्रंट-एंड पर कर सकते हैं, लेकिन यदि बॉब दृढ़ संकल्पित है, तो वह इसके बजाय हमला करने के लिए बैकएंड एंडपॉइंट का पता लगा सकता है। बैकएंड पर फ़ोन नंबर को ब्लॉक करना कठिन है: इसके लिए फ़ोन नंबरों और उनके हाल के लॉगिन प्रयासों का रिकॉर्ड रखना आवश्यक है[2]।

  • उपयोगकर्ता को एसएमएस भेजने से पहले कैप्चा हल करने के लिए बाध्य करें। हालाँकि यह दृष्टिकोण हमलावरों को रोकने में अच्छा काम करता है - कैप्चा को बड़े पैमाने पर हल करना कठिन और महंगा है - यह सेवा के उपयोगकर्ता के अनुभव को ख़राब करता है।

  • libphonenumber का उपयोग करके प्रीमियम दर फ़ोन नंबरों को पहचानें और ब्लॉक करें। हालाँकि यह आशाजनक लगता है, मुझे नहीं पता कि डेटा कितना विश्वसनीय है और यह दृष्टिकोण कितना प्रभावी है।

  • केवल भुगतान किए गए खातों पर टेक्स्ट संदेश भेजें। ट्विटर इसी दृष्टिकोण के साथ आगे बढ़ा है। यह कोई बुरा विकल्प नहीं है, लेकिन जैसा कि आप ऊपर दी गई सूची से देख सकते हैं, ऐसे कई अन्य तरीके हैं जिन्हें आप अपना सकते हैं।

  • अधिक संख्या में धोखाधड़ी करने वाले उपयोगकर्ताओं वाले मोबाइल फ़ोन नेटवर्क ऑपरेटरों को ब्लॉक करें। यह स्पष्ट रूप से खराब नेटवर्क ऑपरेटरों को ब्लॉक कर देगा, लेकिन यदि नेटवर्क में कई वैध उपयोगकर्ता हैं तो यह अच्छी तरह से काम नहीं करेगा।

  • इसके बजाय संदेश भेजने के लिए व्हाट्सएप का उपयोग करें। एसएमएस के विपरीत व्हाट्सएप मुफ़्त है, लेकिन दुनिया भर में सभी उपयोगकर्ता व्हाट्सएप का उपयोग नहीं करते हैं[3]।


एक अच्छा समाधान उपरोक्त दृष्टिकोणों का पर्याप्त उपयोग करना होगा, समय निवेश और प्रभावशीलता को प्राथमिकता देना, जब तक कि हमलावर आसान लक्ष्य पर न पहुंच जाएं।


मेरे पास उपरोक्त उपायों को लागू करने का कुछ व्यक्तिगत अनुभव है, और मेरे पास साझा करने के लिए एक या दो कहानियाँ हैं कि मेरी टीम ने कैसे नतीजों को संभाला। लेकिन वह कहानी फिर कभी... 👨‍💻

स्रोत पर एसएमएस धोखाधड़ी को रोकना

यह मुझे मेरे अंतिम बिंदु पर लाता है:


आईएमओ, ट्विलियो - एक प्रमुख एसएमएस एपीआई - के पास अपने मानक एपीआई में (मुफ़्त? 🙏) ऐड-ऑन के रूप में एसएमएस धोखाधड़ी सुरक्षा प्रदान करने का एक बड़ा अवसर है।


चूंकि ट्विलियो के पास अपने सभी खातों में धोखाधड़ी वाले फोन नंबरों और वाहकों का डेटा है, इसलिए ट्विलियो खराब नंबरों और वाहकों को तेजी से ब्लॉक करने की अद्वितीय स्थिति में है - इससे पहले कि वे कई वेब सेवाओं के लिए एक बड़ा मुद्दा बन जाएं।


ट्विलियो अगली पीढ़ी के प्रमाणीकरण तंत्र - साइलेंट नेटवर्क ऑथ का उपयोग करके अमान्य फोन नंबरों का भी पता लगा सकता है - और ऐसा लगता है कि इस उपयोगिता को उनके उपयोगकर्ताओं के बीच साझा किया जाना चाहिए।


मुझे लोगों द्वारा उपयोग किए गए किसी भी अन्य विचार, विचार और दृष्टिकोण को सुनना अच्छा लगेगा - कृपया नीचे एक टिप्पणी लिखकर साझा करें, और हम सभी सीख सकते हैं।


अभी के लिए बस इतना ही - उन अंतिम बिंदुओं की रक्षा करें, और एक अच्छा सप्ताह बिताएं!


HackerNews पर एक उत्कृष्ट चर्चा है।


[1] ध्यान दें कि इन प्रीमियम फोन नंबरों को काम करने की भी आवश्यकता नहीं है: उन्हें किसी ऐसे सिम कार्ड से कनेक्ट होने की आवश्यकता नहीं है जो काम कर रहा हो और फोन पर पंजीकृत हो। जब तक उन्हें रूट किया जा सकता है, तब तक उनका इस्तेमाल इस हमले में किया जा सकता है।

[2] मैं उत्सुक हूं कि क्या इसे कुशल बनाने और बड़े पैमाने पर काम करने के लिए कोई अच्छी डेटा संरचना और एल्गोरिदम है। यदि आप किसी के बारे में जानते हैं तो कृपया साझा करें!

[3] उनके सुझाव के लिए एचएन पर @csharpminor को श्रेय।


मैं अपू , कूडोस का सीटीओ और एक इंजीनियर हूं।


यह पोस्ट मूल रूप से मेरे निजी ब्लॉग पर दिखाई दी - इसे और अधिक पसंद करने के लिए सदस्यता लें!


L O A D I N G
. . . comments & more!

About Author

Apurva Chitnis HackerNoon profile picture
Apurva Chitnis@apuchitnis
writing about entrepreneurship and software eng. prev @join_ef, eng and prod strategy @improbableio, @Cambridge_Eng

लेबल

इस लेख में चित्रित किया गया था...

Read on Terminal Reader
Read this story in a terminal
 Terminal
Read this story w/o Javascript
Read this story w/o Javascript
 Lite
Also published here
X REMOVE AD