ट्विटर द्वारा टेक्स्ट संदेश दो-कारक प्रमाणीकरण को   के साथ, मैंने सोचा कि एसएमएस धोखाधड़ी कैसे काम करती है और ऐप डेवलपर्स इससे कैसे बच सकते हैं, इस पर गहराई से विचार करना मजेदार होगा। अक्षम करने  यह विकृत प्रोत्साहनों, अदूरदर्शी विनियमन और तकनीकी सरलता की एक आकर्षक कहानी है।  चलो खोदो! 👇  प्रीमियम नंबर  आरंभ करने के लिए, आइए ट्विटर की हालिया घोषणा को दोबारा याद करें:   https://twitter.com/TwitterSupport/status/1626757587524890624?embedable=true  सरल अंग्रेजी में, इसका सीधा सा अर्थ यह है कि केवल ट्विटर के भुगतान किए गए संस्करण के उपयोगकर्ताओं को लॉगिन के दौरान उनके फोन पर एक कोड भेजा जाएगा।  एसएमएस धोखाधड़ी को समझने की कुंजी यह समझना है कि कुछ नंबर   हैं। यदि आप इस नंबर पर कॉल करना या एसएमएस भेजना चाहते हैं, तो इसके लिए   कुछ पैसे खर्च करने होंगे - आम तौर पर दसियों सेंट - और नंबर के मालिक को उन दसियों सेंट का एक हिस्सा अपने लिए मिलता है। प्रीमियम आपको  इन फोन नंबरों के मालिक आम तौर पर वैध सेवाएं प्रदान करते हैं जिनकी आपूर्ति करने और अपने उपयोगकर्ताओं को मूल्य प्रदान करने के लिए पैसे खर्च होते हैं, जैसे टेली-वोटिंग, डेटिंग और तकनीकी सहायता।  हालाँकि, आसान लाभ के लिए इन नंबरों का उपयोग किया जा सकता है  एसएमएस धोखाधड़ी  एक बुरा अभिनेता, हम उसे   कह सकते हैं, कई प्रीमियम फोन नंबर हासिल कर लेता है[1]। बॉब एक हैकर हो सकता है, या एक ख़राब मोबाइल फ़ोन नेटवर्क ऑपरेटर हो सकता है। बॉब  बॉब को एक वेब सेवा मिलती है जो उसके प्रीमियम फोन नंबरों पर टेक्स्ट संदेश भेजेगी। ये संदेश दो-कारक प्रमाणीकरण कोड, एक बार पासवर्ड, या सेवा के हिस्से के रूप में उपयोगकर्ता को भेजा गया कोई अन्य टेक्स्ट संदेश हो सकता है (उदाहरण के लिए   एसएमएस के माध्यम से ईवेंट अनुस्मारक भेजता है)। पार्टिफुल.कॉम  बॉब ने सेवा द्वारा उसके प्रीमियम फोन नंबरों पर   एसएमएस भेजने का एक तरीका ढूंढ लिया। यह बहुत आसान हो सकता है. फ्रंट एंड सर्विस में हेरफेर करना आसान हो सकता है, और बैकएंड एंडपॉइंट असुरक्षित हो सकते हैं और रिवर्स-इंजीनियर करना आसान हो सकता है। हजारों  इससे भी बदतर, कई सेवाएँ एसएमएस भेजने के लिए एक मानकीकृत समापन बिंदु का उपयोग करती हैं। इससे बॉब के लिए हमला करने के लिए साइट ढूंढना काफी आसान हो जाता है। उदाहरण के लिए, यदि सेवा उपयोगकर्ताओं को प्रमाणित करने और Auth0 जैसे 2FA या OTP कोड भेजने के लिए किसी तीसरे पक्ष का उपयोग करती है, तो एसएमएस भेजने का समापन बिंदु ज्यादातर ज्ञात होता है: बॉब को केवल Auth0 की खोज करने का एक तरीका खोजने की आवश्यकता होती है एक वेब सेवा के लिए आईडी (काफी आसान है, क्योंकि वेब सेवा का फ्रंट-एंड इस आईडी से युक्त एक अनुरोध करता है), और फिर वे उस तृतीय पक्ष सेवा का उपयोग करने वाली   साइटों पर हमला कर सकते हैं। सभी  अंततः, बॉब इस सेवा से अपने प्रीमियम फोन नंबरों पर हजारों एसएमएस भेजता है। वेब सेवा 💵💵💵 खोती है, और बॉब लाभ कमाता है।  एसएमएस धोखाधड़ी से बचाव  एसएमएस धोखाधड़ी को रोकने के लिए कोई एक उपाय नहीं है। लेकिन यहां कुछ विचार हैं जो काम कर सकते हैं:  यदि उपयोगकर्ताओं को प्रमाणित करने के लिए Auth0 जैसी तृतीय-पक्ष सेवा का उपयोग किया जाता है, तो आप एसएमएस भेजने के लिए उपयोग किए जाने वाले समापन बिंदु को अस्पष्ट कर सकते हैं। हालाँकि यह किसी हमले को पूरी तरह से नहीं रोक पाएगा, लेकिन इससे यह पता लगाना बहुत कठिन हो जाता है कि कोई हमला संभव है।  जिस तरह एक बाइक चोर बाइक चुराने के लिए सबसे आसान लक्ष्य को निशाना बनाता है, उसी तरह एक अच्छा हैकर उन वेब सेवाओं की ओर रुख करेगा जिन्हें हैक करना आसान है। मेरा अनुमान है कि यह दृष्टिकोण ऐप्स की   के लिए काफी अच्छा काम करेगा। लंबी श्रृंखला  आईपी से आने वाले सभी अनुरोधों को ब्लॉक करें जो क्लाउड प्रदाताओं, धोखाधड़ी वाले आईएसपी से उत्पन्न होते हैं, या अन्यथा अधूरे हैं। इसे लागू करना काफी सरल होना चाहिए - कई सेवाएँ मौजूद हैं जो आपको आईपी पते की गुणवत्ता को रेट करने की अनुमति देती हैं - और संभवतः बहुत प्रभावी होंगी।  अंतिम बिंदु पर आईपी-आधारित   जोड़ें जो बॉब के हमले को रोकने के लिए एसएमएस भेजता है। यदि सही तरीके से सेट किया गया है, तो यह वैध उपयोगकर्ताओं को प्रभावित नहीं करेगा। हालाँकि, यह केवल एक साधारण हमले के विरुद्ध ही काम करता है। यदि बॉब अपने हमले को विभिन्न आईपी पतों से अनुरोध भेजने के लिए तैयार करता है - एक   हमला - तो यह काम नहीं करेगा। दर-सीमित वितरित  किसी विशिष्ट फ़ोन नंबर को कूल-ऑफ़ अवधि के लिए ब्लॉक करने से पहले केवल कुछ ही बार एसएमएस भेजें। हम इसे फ्रंट-एंड पर कर सकते हैं, लेकिन यदि बॉब दृढ़ संकल्पित है, तो वह इसके बजाय हमला करने के लिए बैकएंड एंडपॉइंट का पता लगा सकता है। बैकएंड पर फ़ोन नंबर को ब्लॉक करना कठिन है: इसके लिए फ़ोन नंबरों और उनके हाल के लॉगिन प्रयासों का रिकॉर्ड रखना आवश्यक है[2]।  उपयोगकर्ता को एसएमएस भेजने से पहले कैप्चा हल करने के लिए बाध्य करें। हालाँकि यह दृष्टिकोण हमलावरों को रोकने में अच्छा काम करता है - कैप्चा को बड़े पैमाने पर हल करना कठिन और महंगा है - यह सेवा के उपयोगकर्ता के अनुभव को ख़राब करता है।    उपयोग करके   दर फ़ोन नंबरों को पहचानें और ब्लॉक करें। हालाँकि यह आशाजनक लगता है, मुझे नहीं पता कि डेटा कितना विश्वसनीय है और यह दृष्टिकोण कितना प्रभावी है। libphonenumber का प्रीमियम  केवल भुगतान किए गए खातों पर टेक्स्ट संदेश भेजें। ट्विटर इसी दृष्टिकोण के साथ आगे बढ़ा है। यह कोई बुरा विकल्प नहीं है, लेकिन जैसा कि आप ऊपर दी गई सूची से देख सकते हैं, ऐसे कई अन्य तरीके हैं जिन्हें आप अपना सकते हैं।  अधिक संख्या में धोखाधड़ी करने वाले उपयोगकर्ताओं वाले मोबाइल फ़ोन नेटवर्क ऑपरेटरों को ब्लॉक करें। यह स्पष्ट रूप से खराब नेटवर्क ऑपरेटरों को ब्लॉक कर देगा, लेकिन यदि नेटवर्क में कई वैध उपयोगकर्ता हैं तो यह अच्छी तरह से काम नहीं करेगा।  इसके बजाय संदेश भेजने के लिए व्हाट्सएप का उपयोग करें। एसएमएस के विपरीत व्हाट्सएप मुफ़्त है, लेकिन दुनिया भर में सभी उपयोगकर्ता व्हाट्सएप का उपयोग नहीं करते हैं[3]।  एक अच्छा समाधान उपरोक्त दृष्टिकोणों का पर्याप्त उपयोग करना होगा, समय निवेश और प्रभावशीलता को प्राथमिकता देना, जब तक कि हमलावर आसान लक्ष्य पर न पहुंच जाएं।  मेरे पास उपरोक्त उपायों को लागू करने का कुछ व्यक्तिगत अनुभव है, और मेरे पास साझा करने के लिए एक या दो कहानियाँ हैं कि मेरी टीम ने कैसे नतीजों को संभाला। लेकिन वह कहानी फिर कभी... 👨‍💻  स्रोत पर एसएमएस धोखाधड़ी को रोकना  यह मुझे मेरे अंतिम बिंदु पर लाता है:  आईएमओ, ट्विलियो - एक प्रमुख एसएमएस एपीआई - के पास अपने मानक एपीआई में (मुफ़्त? 🙏) ऐड-ऑन के रूप में एसएमएस धोखाधड़ी सुरक्षा प्रदान करने का एक बड़ा अवसर है।  चूंकि ट्विलियो के पास अपने सभी खातों में धोखाधड़ी वाले फोन नंबरों और वाहकों का डेटा है, इसलिए ट्विलियो खराब नंबरों और वाहकों को   ब्लॉक करने की अद्वितीय स्थिति में है - इससे पहले कि वे कई वेब सेवाओं के लिए एक बड़ा मुद्दा बन जाएं। तेजी से  ट्विलियो अगली पीढ़ी के प्रमाणीकरण तंत्र -   का उपयोग करके अमान्य फोन नंबरों का भी पता लगा सकता है - और ऐसा लगता है कि इस उपयोगिता को उनके उपयोगकर्ताओं के बीच   किया जाना चाहिए। साइलेंट नेटवर्क ऑथ साझा  मुझे लोगों द्वारा उपयोग किए गए किसी भी अन्य विचार, विचार और दृष्टिकोण को सुनना अच्छा लगेगा - कृपया नीचे एक टिप्पणी लिखकर साझा करें, और हम सभी सीख सकते हैं।  अभी के लिए बस इतना ही - उन अंतिम बिंदुओं की रक्षा करें, और एक अच्छा सप्ताह बिताएं!   HackerNews पर एक   है। उत्कृष्ट चर्चा  [1] ध्यान दें कि इन प्रीमियम फोन नंबरों को काम करने की भी आवश्यकता नहीं है: उन्हें किसी ऐसे सिम कार्ड से कनेक्ट होने की आवश्यकता नहीं है जो काम कर रहा हो और फोन पर पंजीकृत हो। जब तक उन्हें रूट किया जा सकता है, तब तक उनका इस्तेमाल इस हमले में किया जा सकता है।  [2] मैं उत्सुक हूं कि क्या इसे कुशल बनाने और बड़े पैमाने पर काम करने के लिए कोई अच्छी डेटा संरचना और एल्गोरिदम है। यदि आप किसी के बारे में जानते हैं तो कृपया साझा करें!  [3] उनके   के लिए एचएन पर @csharpminor को श्रेय। सुझाव   मैं   , कूडोस का सीटीओ और एक इंजीनियर हूं। अपू   यह पोस्ट   - इसे और अधिक पसंद करने के लिए सदस्यता लें! मूल रूप से मेरे निजी ब्लॉग पर दिखाई दी

This story contains new, firsthand information uncovered by the writer.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding your health or security. (Do not regard any of this content as professional investment advice, or health advice)

2022 - HackerNoon Contributor of the Year - Hiring

Read My Stories

Nominated for 2022 - HackerNoon Contributor of the Year - Hiring

Startup Founder

How SMS Fraud Works and How to Protect Against It

यह ऑडियो कहानी की मूल भाषा में निर्मित है!

बहुत लंबा; पढ़ने के लिए

Make resilience your competitive advantage

एसएमएस धोखाधड़ी कैसे काम करती है और इससे कैसे बचाव करें

About Author

टिप्पणियाँ

लेबल

इस लेख में चित्रित किया गया था

Related Stories

डिजिटल खानाबदोशों सुनो: थाईलैंड के नए डीटीवी वीज़ा के बारे में आपको क्या जानना चाहिए

HackerNoon एक बहुभाषी प्लेटफ़ॉर्म है: सभी शीर्ष कहानियाँ अब 13 भाषाओं में उपलब्ध हैं

He/Him/Master of Discovery

फ़ोरम से फ़ीड तक: सोशल मीडिया एल्गोरिदम डिजिटल इंटरैक्शन को कैसे आकार देते हैं

डिजिटल खानाबदोशों सुनो: थाईलैंड के नए डीटीवी वीज़ा के बारे में आपको क्या जानना चाहिए

HackerNoon एक बहुभाषी प्लेटफ़ॉर्म है: सभी शीर्ष कहानियाँ अब 13 भाषाओं में उपलब्ध हैं

He/Him/Master of Discovery

फ़ोरम से फ़ीड तक: सोशल मीडिया एल्गोरिदम डिजिटल इंटरैक्शन को कैसे आकार देते हैं

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps