Twitter がテキスト メッセージの 2 要素認証を ため、SMS 詐欺がどのように機能するのか、そしてアプリ開発者がそれをどのように防御できるのかを詳しく調べてみるのは面白いだろうと思いました。 無効にしている これは、倒錯的なインセンティブ、近視眼的な規制、技術的な創意工夫に関する興味深い物語です。 掘り下げてみましょう！ 👇 プレミアム番号 まず、Twitter の最近の発表を要約しましょう。   https://twitter.com/TwitterSupport/status/1626757587524890624?embedable=true 簡単に言うと、これは単に、有料版の Twitter のユーザーのみがログイン時に携帯電話にコードを送信されることを意味します。  SMS 詐欺を理解する鍵は、一部の番号が であることを理解することです。この番号に電話をかけたり SMS を送信したりするには、通常は数十セントの費用が 、その番号の所有者はその数十セントの一部を自分用に受け取ります。 プレミアム かかり これらの電話番号の所有者は通常、電話投票、デート、技術サポートなど、ユーザーに価値を提供するのに費用がかかる正規のサービスを提供しています。 ただし、これらの数字は簡単に利益を得るために利用できる可能性があります 🤑  SMS詐欺 悪役 (彼を と呼びましょう) は、いくつかのプレミアム電話番号を入手します[1]。ボブはハッカーである可能性もあれば、経営破綻した携帯電話ネットワーク事業者である可能性もあります。 ボブ ボブは、自分のプレミアム電話番号にテキスト メッセージを送信する Web サービスを見つけました。これらのメッセージは、2 要素認証コード、ワンタイム パスワード、またはサービスの一部としてユーザーに送信されるその他のテキスト メッセージ (たとえば SMS 経由でイベント リマインダーを送信する) である可能性があります。 、partiful.com が ボブは、このサービスで自分の高級電話番号に もの SMS を送信する方法を見つけました。これはとても簡単かもしれません。フロントエンド サービスは操作が簡単ですが、バックエンド エンドポイントは保護されておらず、リバース エンジニアリングが簡単である可能性があります。 何千 さらに悪いことに、多くのサービスは SMS の送信に標準化されたエンドポイントを使用しています。これにより、ボブが攻撃対象のサイトを見つけるのが非常に簡単になります。たとえば、サービスがユーザーの認証と 2FA または OTP コード (Auth0 など) の送信にサードパーティを使用する場合、SMS を送信するエンドポイントはほとんどわかっています。ボブが行う必要があるのは、Auth0 を検出する方法を見つけることだけです。 Web サービスの ID (Web サービスのフロントエンドがこの ID を含むリクエストを作成するため、かなり簡単です)、その後、そのサードパーティ サービスを使用する サイトを攻撃できます。 すべての 最後に、ボブはこのサービスで自分のプレミアム電話番号に数千の SMS を送信します。 Web サービスは 💵💵💵 を失い、Bob は利益を得ます。  SMS 詐欺からの保護 SMS 詐欺を防ぐ特効薬はありません。ただし、有効なアイデアがいくつかあります。  Auth0 などのサードパーティ サービスを使用してユーザーを認証する場合は、SMS の送信に使用されるエンドポイントを難読化することができます。これによって攻撃を完全に防ぐことはできませんが、攻撃の可能性を発見するのがはるかに困難になります。 自転車泥棒が最も盗みやすい自転車を狙うのと同じように、優れたハッカーはハッキングが容易な Web サービスに移ります。私の予感としては、このアプローチはアプリの には十分に機能するだろうということです。 ロングテール クラウド プロバイダー、詐欺的な ISP、またはその他の危険な IP からのリクエストをすべてブロックします。これは実装が非常に簡単で、IP アドレスの品質を評価できるサービスが多数存在しており、おそらく非常に効果的です。  SMS を送信するエンドポイントに IP ベースの を追加して、Bob の攻撃をブロックします。正しく設定されていれば、正規のユーザーには影響しません。ただし、これは単純な攻撃に対してのみ機能します。ボブがさまざまな IP アドレスからリクエストを送信する攻撃を設計した場合 ( 攻撃)、これは機能しません。 レート制限 分散 クールオフ期間中その電話番号をブロックする前に、特定の電話番号に SMS を少数回送信するだけにしてください。フロントエンドでこれを行うこともできますが、ボブが決意した場合は、代わりに攻撃するバックエンド エンドポイントを見つけ出すこともできます。バックエンドで電話番号をブロックするのはより困難です。電話番号とその最近のログイン試行の記録を保持する必要があります[2]。  SMS を送信する前に、ユーザーに CAPTCHA を解決するよう強制します。このアプローチは攻撃者をブロックするのには効果的ですが、CAPTCHA の解決は大規模に行うのが難しく、コストがかかりますが、サービスのユーザー エクスペリエンスは低下します。   使用して、 料金の電話番号を識別してブロックします。これは有望に思えますが、データがどれほど信頼できるのか、このアプローチがどれほど効果的であるのかはわかりません。 libphonenumber を プレミアム テキスト メッセージは有料アカウントにのみ送信してください。これがTwitterが採用したアプローチです。それは悪い選択肢ではありませんが、上記のリストからわかるように、他にも多くのアプローチが可能です。 不正ユーザーが多い携帯電話ネットワーク事業者をブロックします。これは明らかに悪質なネットワーク オペレーターをブロックしますが、ネットワークに正規のユーザーが多数いる場合はうまく機能しません。 代わりに WhatsApp を使用してメッセージを送信してください。 WhatsApp は SMS とは異なり無料ですが、世界中のすべてのユーザーが WhatsApp を使用しているわけではありません[3]。 優れたソリューションでは、攻撃者がより簡単なターゲットに移動するまで、時間の投資と有効性を優先して上記のアプローチを十分に活用します。 私には上記の対策を実施した個人的な経験があり、チームが影響を及ぼした際にどのように対処したかについて 1 つまたは 2 つ共有したいことがあります。でも、それはまた別の機会に…👨‍💻  SMS詐欺を発信元でブロック これが私の最後のポイントになります。  IMO の Twilio (有力な SMS API) には、標準 API への (無料? 🙏) アドオンとして SMS 詐欺防止機能を提供する大きなチャンスがあります。  Twilio はすべてのアカウントにわたって不正な電話番号と通信事業者に関するデータを保有しているため、複数の Web サービスで大きな問題になる前に、不正な電話番号と通信事業者を ブロックできる独自の立場にあります。 迅速に  Twilio は、次世代の認証メカニズムである を使用して無効な電話番号を完全に検出することもでき、このユーティリティはユーザー間で されるべきだと感じています。 Silent Network Auth 共有 他の人が使用した考え、アイデア、アプローチがあればぜひ聞きたいです。以下にコメントを書いて共有してください。そうすれば、私たち全員が学ぶことができます。 今のところはここまでです。エンドポイントを保護して、素晴らしい一週間をお過ごしください。   HackerNews に あります。 素晴らしいディスカッションが  [1] これらのプレミアム電話番号は機能する必要さえないことに注意してください。機能していて電話に登録されている SIM カードに接続する必要はありません。ルーティングできる限り、この攻撃に使用できます。  [2] これを効率的かつ大規模に動作させるための優れたデータ構造とアルゴリズムがあるかどうかに興味があります。ご存知の方はぜひシェアしてください！  [3] に対する HN の @csharminor の功績です。 提案   koodosのCTO兼エンジニアの です。 Apu この投稿は 。購読してもっといいね！ もともと私の個人的なブログに掲載されたものです

This story contains new, firsthand information uncovered by the writer.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding your health or security. (Do not regard any of this content as professional investment advice, or health advice)

2022 - HackerNoon Contributor of the Year - Hiring

Read My Stories

Nominated for 2022 - HackerNoon Contributor of the Year - Hiring

Startup Founder

How SMS Fraud Works and How to Protect Against It

このオーディオは、ストーリーの元の言語で制作されています。

長すぎる; 読むには

Make resilience your competitive advantage

SMS 詐欺の仕組みとそれから守る方法

About Author

コメント

ラベル

この記事は

Related Stories

Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析

HackerNoon ライティングコンテストで優勝したいですか? #crypto-api コンテスト優勝者のおすすめはこちら

ワークフローを10倍に向上させる方法: 必須アプリ17選

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

Claude Sonnet 3.5 システムプロンプトの漏洩: 法医学的分析

HackerNoon ライティングコンテストで優勝したいですか? #crypto-api コンテスト優勝者のおすすめはこちら

ワークフローを10倍に向上させる方法: 必須アプリ17選

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps