Com o Twitter   a autenticação de dois fatores para mensagens de texto, achei que seria divertido mergulhar fundo em como a fraude por SMS funciona e como os desenvolvedores de aplicativos podem se proteger contra ela. desativando  É uma história fascinante de incentivos perversos, regulamentação míope e engenhosidade técnica.  Vamos cavar! 👇  números premium  Para começar, vamos recapitular o recente anúncio do Twitter:   https://twitter.com/TwitterSupport/status/1626757587524890624?embedable=true  Em inglês simples, isso significa simplesmente que apenas os usuários da versão paga do Twitter receberão um código enviado para o telefone durante o login.  A chave para entender a fraude de SMS é entender que alguns números são   . Se você quiser ligar ou enviar um SMS para esse número, isso   algum dinheiro - geralmente dezenas de centavos - e o proprietário do número recebe uma parte dessas dezenas de centavos para si. premium custará  Os proprietários desses números de telefone normalmente oferecem serviços legítimos que custam dinheiro para fornecer e oferecem valor a seus usuários, como televotação, namoro e suporte técnico.  No entanto, esses números podem ser jogados para lucro fácil 🤑  Fraude SMS  Um mau ator, vamos chamá-lo de   , consegue vários números de telefone premium[1]. Bob pode ser um hacker ou um operador de rede de telefonia móvel que deu errado. Bob  Bob encontra um serviço da web que enviará mensagens de texto para seus números de telefone premium. Essas mensagens podem ser códigos de autenticação de dois fatores, senhas únicas ou qualquer outra mensagem de texto enviada ao usuário como parte do serviço (por exemplo,   envia lembretes de eventos via SMS). partiful.com  Bob encontra uma maneira de fazer com que o serviço envie   de SMSs para seus números de telefone premium. Isso pode ser muito fácil. O serviço de front-end pode ser fácil de manipular e os endpoints de back-end podem estar desprotegidos e fáceis de fazer engenharia reversa. milhares  Pior ainda, muitos serviços usam um endpoint padronizado para enviar SMSs. Isso torna muito mais fácil para Bob encontrar sites para atacar. Por exemplo, se o serviço usa um terceiro para autenticar usuários e enviar códigos 2FA ou OTP, como Auth0, então o endpoint para enviar SMSs é mais conhecido: tudo o que Bob precisa fazer é descobrir uma maneira de descobrir os Auth0s ID para um serviço da web (bastante fácil, já que o front-end do serviço da web faz uma solicitação contendo esse ID) e, em seguida, eles podem atacar   os sites que usam esse serviço de terceiros. todos  Por fim, Bob faz com que o serviço envie milhares de SMSs para seus números de telefone premium. O serviço da web perde 💵💵💵 e Bob lucra.  Proteção contra fraude por SMS  Não há uma bala de prata para evitar fraudes por SMS. Mas aqui estão algumas ideias que podem funcionar:  Se estiver usando um serviço de terceiros para autenticar usuários, como Auth0, você pode ofuscar o endpoint usado para enviar SMSs. Embora isso não impeça um ataque de imediato, torna muito mais difícil descobrir que um ataque é possível.  Semelhante a como um ladrão de bicicletas visa as bicicletas mais fáceis de roubar, um bom hacker passaria para os serviços da web que são mais fáceis de hackear. Meu palpite é que essa abordagem funcionaria bem o suficiente para a   de aplicativos. longa cauda  Bloqueie todas as solicitações de IPs originados em provedores de nuvem, ISPs fraudulentos ou que sejam incompletos. Isso deve ser bastante simples de implementar - existem muitos serviços que permitem avaliar a qualidade de um endereço IP - e provavelmente seria muito eficaz.  Adicione   baseada em IP ao endpoint que envia SMS para bloquear o ataque de Bob. Se configurado corretamente, isso não afetará usuários legítimos. No entanto, isso só funciona contra um ataque simples. Se Bob arquitetar seu ataque para enviar solicitações de vários endereços IP — um ataque   —, isso não funcionaria. limitação de taxa distribuído  Envie um SMS para um número de telefone específico apenas um pequeno número de vezes antes de bloquear esse número de telefone por um período de espera. Poderíamos fazer isso no front-end, mas se Bob estiver determinado, ele pode descobrir o endpoint de back-end para atacar. Bloquear o número de telefone no back-end é mais difícil: requer manter um registro dos números de telefone e suas tentativas de login recentes[2].  Força o usuário a resolver um CAPTCHA antes de enviar um SMS. Embora essa abordagem funcione bem para bloquear invasores — resolver o CAPTCHA é difícil e caro em grande escala —, ela prejudica a experiência do usuário com o serviço.  Identifique e bloqueie números de telefone de tarifa   , usando   . Embora isso pareça promissor, não sei quão confiáveis são os dados e quão eficaz é essa abordagem. premium libphonenumber  Envie mensagens de texto apenas para contas pagas. Essa é a abordagem que o Twitter adotou. Não é uma opção ruim, mas como você pode ver na lista acima, há muitas outras abordagens que você pode adotar.  Bloqueie operadoras de rede de telefonia móvel com um alto número de usuários fraudulentos. Isso bloquearia operadoras de rede claramente ruins, mas não funcionaria bem se a rede tivesse muitos usuários legítimos.  Use o WhatsApp para enviar mensagens. O WhatsApp é gratuito ao contrário do SMS, mas nem todos os usuários do mundo usam o WhatsApp[3].  Uma boa solução faria uso suficiente das abordagens acima, priorizando o investimento de tempo e a eficácia, até que os invasores se movessem para alvos mais fáceis.  Tenho alguma experiência pessoal na implementação das medidas acima e tenho uma ou duas histórias para compartilhar sobre como minha equipe lidou com as consequências. Mas isso é história para outra hora… 👨‍💻  Bloqueio de fraude por SMS na origem  Isso me leva ao meu ponto final:  IMO, Twilio - uma API de SMS dominante - tem uma grande oportunidade de oferecer proteção contra fraude por SMS como um complemento (gratuito? 🙏) para suas APIs padrão.  Como o Twilio possui dados sobre números de telefone e operadoras fraudulentos em todas as suas contas, o Twilio está em uma posição única para bloquear   números e operadoras ruins - antes que se tornem um grande problema para vários serviços da web. rapidamente  O Twilio pode até mesmo detectar números de telefone inválidos usando o   - um mecanismo de autenticação de última geração - e parece que esse utilitário deve ser   entre seus usuários. Silent Network Auth compartilhado  Eu adoraria ouvir quaisquer outros pensamentos, ideias e abordagens que as pessoas usaram - por favor, compartilhe escrevendo um comentário abaixo, e todos nós podemos aprender.  Por enquanto é isso — proteja esses endpoints e tenha uma ótima semana!   Há uma   no HackerNews. excelente discussão  [1] Observe que esses números de telefone premium nem precisam funcionar: eles não precisam estar conectados a um cartão SIM que esteja funcionando e registrado em um telefone. Desde que possam ser encaminhados, eles podem ser usados neste ataque.  [2] Estou curioso para saber se há uma boa estrutura de dados e algoritmo para tornar isso eficiente e funcionar em escala. Por favor, compartilhe se você souber de um!  [3] Crédito para @csharpminor no HN por sua   . sugestão   Sou   , CTO da koodos e engenheiro. Apu   Este post   - inscreva-se para mais como ele! apareceu originalmente no meu blog pessoal

This story contains new, firsthand information uncovered by the writer.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

The writer is smart, but don't just like, take their word for it. #DoYourOwnResearch before making any investment decisions or decisions regarding your health or security. (Do not regard any of this content as professional investment advice, or health advice)

Como funciona a fraude por SMS e como se proteger contra ela

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Aumente sua produtividade com estas 18 ferramentas para desenvolvedores 🚀🔥

Uma breve introdução à teoria do cérebro de Boltzmann

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Digital Nomads Ouçam: O que você precisa saber sobre o novo visto DTV da Tailândia

Aumente sua produtividade com estas 18 ferramentas para desenvolvedores 🚀🔥

Uma breve introdução à teoria do cérebro de Boltzmann

Liberando o poder da IA. Uma revisão sistemática de técnicas de ponta: resumo e introdução

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps