Jak przejąć czyjś numer telefonu w T-Mobile? Zbyt prosto...

Jak przejąć czyjś numer telefonu w T-Mobile? Zbyt prosto...

@nofink niebezpiecznik.pl #polska #technologia #bezpieczenstwo

Masz telefon w T-Mobile? To masz problem.

  •  

    pokaż komentarz

    Można się rozejść, już T-mobile wprowadził zabezpieczenia, właśnie to sprawdziłem i trzeba iść do salonu...

  •  

    pokaż komentarz

    Czy ktokolwiek z t-mobile pomyślał przez sekundę jakie konsekwencje może ponieść ofiara kradzieży tożsamości?
    Albo są idiotami bo na to nie wpadli, albo są idiotami do kwadratu, bo jednak wpadli ale mają to gdzieś ( ಠ_ಠ)

  •  

    pokaż komentarz

    Źródłem całego problemu jest fakt ze

    TYSIĄCE podmiotów (publicznych i prywatnych) traktują dostęp do numeru telefonu jako jednoznaczną weryfikacje tożsamości.

    Tym samym przenoszą na operatorów telekomunikacyjnch ciężar zapewnienia bezpieczeństwa i faktycznego potwierdzenia tożsamości-numer.

    A operatorzy telekomunikacyjni i kary sim nie do tego zostały stworzone.

    Żeby choć ktoś im ekstra za to płacił... Bo przeciez to potwierdzenie tożsamości to krytyczna usługa jest.

    •  

      pokaż komentarz

      @graf_zero: dokladnie, kolejny przyklad klasycznego mechanizmu: tworzenie uslugi/produktu do jakiegos celu x-> super zajebista usluga ale wygodne, fajne -> okazuje sie ze mozna to wykozystac w niecnym celu-> kombinujcie jak to zrobic bo kowalski chce miec milo latwo przyjemnie i bezpiecznie. wasz produkt to odpowiadajcie za wszystkie konotacje z nim zwiazane to nie urzytkownik czy inne podmioty maja o to dbac.

    •  

      pokaż komentarz

      @graf_zero: Sednem pomyłki jest utożsamienie numeru telefonu z urządzeniem. Błędne założenie polega na tym, że ktoś, kto ma sprzęt, jest tym, kto ma numer telefoniczny. To takie zaklinanie rzeczywistości i reguły, która mówi, że przy 2FA trzeba opierać się nie tylko na tym, co ktoś wie (hasło), ale też coś, co ma (sprzęt). Tu okazuje się, że wcale nie polegamy na sprzęcie, ale na ulotnym identyfikatorze, który można duplikować i przenosić niezależnie od sprzętu. I na papierze wymóg bezpieczeństwa jest spełniony, a w praktyce wcale nie jest. :)

      To nie pierwsze tego typu wpadki architektów bezpieczeństwa z mentalnością urzędników. Lata temu w podobny sposób utożsamiano bezpieczeństwo systemu komputerowego klienta (i jego przeglądarki WWW) z bezpieczeństwem zasobu. I potem było zaskoczenie, że błędy we wtyczkach do przeglądarek sprawiają, że całe SSL/TLS nie ma znaczenia i że korzystanie z mocnych haseł też nie ma znaczenia, bo uwierzytelnia się browser, a nie człowiek, a browser może być popsuty.

    •  

      pokaż komentarz

      TYSIĄCE podmiotów (publicznych i prywatnych) traktują dostęp do numeru telefonu jako jednoznaczną weryfikacje tożsamości.

      @graf_zero: Patrz - wykop.pl

    •  

      pokaż komentarz

      @SKYFander: Na utracie tożsamość w wykopie dużo nie stracę. :D

      Ale moj telefon/numer identyfikuje mnie jednoznacznie i potwierdza moja tożsamość.
      w banku
      w sprawach urzędowych
      we wszystkich tożsamościach cyfrowych - e-mail, tożsamość google która potwierdza mnóstwo usług, hostingi, usługi na AWS czy co by ktoś gdzieś miał.

      Nasze funkcjonowanie we współczesnym świecie polega na zabezpieczeniu dostępu do numeru.

      Kupuję starter, płacę np. 30zł żeby konto rok działało, a teraz ty, panie operator telekomunikacyjny zadbaj o bezpieczeństwo tego numeru i żeby mi nikt go nie przejął bo na tym cała moja egzystencja zawisła.

    •  

      pokaż komentarz

      @graf_zero: panowie, ja zgłaszałem jakiś czas temu mój pomysł jak to rozwiązać

      Element 1(w przypadku wizyt w placówkach fizycznych):

      1. robimy liste firm "krytycznych" które dołączamy do programu (telekomy, banki itp itd)
      2. udostępniamy tym firmom API do pobrania informacji czy dowód jest zastrzeżony oraz o dacie wydania nowego dowodu
      3. w przypadku jeśli z API wynika że dana osoba ma nowy dowód osobisty elektroniczny firma ma obowiązek potwierdzić dowód za pomocą czytnika oraz kodu PIN które są przypisane do dowodów osobistych
      4. wszyscy którzy są w grupie podwyższonego ryzyka ruszają wymienić dowody osobiste na elektroniczne, aby uchronić się przed scamem przejęcia SIM-ek na jakieś fałszywe dowody itd.

      Element 2:

      1. tworzymy API które rozgłasza do firm partnerskich informacje o wymianie karty SIM na danym numerze telefonu (np. do banków)
      2. telekomy wysyłają tam informacje o wymianie karty SIM
      2. Bank w takiej sytuacji blokuje środki i uruchamia procedure dodatkowej weryfikacji klienta przed oddaniem dostępu do środków

      proste i skuteczne - dlatego nikt tego nie wprowadzi

    •  

      pokaż komentarz

      proste i skuteczne - dlatego nikt tego nie wprowadzi

      @villager: Od dawna są proste i skuteczne rozwiązania, w Afryce działają od wielu lat. Nie wyrobisz tak łatwo zamiennika karty SIM jak u nas.

    •  

      pokaż komentarz

      @Camis: no to właśnie pisze pomysł który będzie prosty i skuteczny ¯\_(ツ)_/¯

    •  

      pokaż komentarz

      @villager:

      Pisząc o oszustwach SIM swap proponowaliśmy pewne rozwiązania zaradcze. Przykładowo w momencie wydawania karty SIM konsultant w salonie GSM mógłby zwyczajnie dzwonić do zainteresowanego by sprawdzić, czy nie odbierze on telefonu. W ten sposób pracownik salonu mógłby ustalić, że osoba siedząca przed nim w salonie nie jest tym, za kogo się podaje. Oczywiście ta metoda miałaby również swoje wady. Czy dałoby się wynaleźć coś lepszego?

      Da się. Udowodnili to bankowcy i operatorzy z Mozambiku. Wprowadzili oni taką ochronę przed SIM swapami, jakiej nie mają nawet najbardziej zaawansowane technologicznie kraje.

      Jak Mozambik to ogarnął?
      Pod presją społeczeństwa i mediów telekomy i bankowcy zrobili to, co powinni zrobić. Usiedli do stołu i wypracowali rozwiązanie wspólne.*
      *
      Jeśli mozambicki oszust przejął czyjąś kartę SIM, zazwyczaj starał się wykorzystać ją natychmiast, w ciągu paru minut. To zrozumiałe i tak samo robią oszuści na całym świecie. **Dlatego właśnie w Mozambiku stworzono specjalną platformę, która zawiera informację o numerach, na których dokonano w ostatnim czasie zmiany karty SIM. Większość banków korzysta z tej platformy w taki sposób, że blokuje transakcje na “oflagowanych” numerach na okres od 48 do 72 godzin.
      Zazwyczaj taki czas wystarcza, aby ofiara podmianki karty SIM zorientowała się, że usługi komórkowe nie działają jak powinny.


      Technicznie rzez ujmując działa to tak.

      Banki łączą się z platformami różnych operatorów przez VPN.
      Gdy dochodzi do transakcji, system bankowości wykonuje do systemu odpowiedniego operatora zapytanie REST API podając jako argumenty numer telefonu i czas (od 24 do 72 godzin).
      System operatora zwraca odpowiedź True lub False (zmieniano kartę sim/nie zmieniano)
      W razie odpowiedzi False transakcja przebiega bez zakłóceń.
      W razie odpowiedzi True transakcja jest blokowana. Jeśli ktoś zmienił kartę SIM i musi dokonać przelewu, może odblokować przelew poprzez wizytę w banku.
      Zauważcie, że przy takim rozwiązaniu operator nie udostępnia bankowi żadnych danych identyfikujących abonenta. Co istotne, mozambicki regulator usług telekomunikacyjnych uznał, że udostępnianie informacji przez operatorów ma w tym przypadku wymiar realizowania interesu narodowego.


      https://niebezpiecznik.pl/post/szkoda-ze-nie-ma-tego-w-polsce-czyli-jak-mozambik-polozyl-kres-wyludzeniom-kart-sim/

    •  

      pokaż komentarz

      urzytkownik

      @zmrol: Na to bym nie wpadł. (ಠ‸ಠ)

    •  

      pokaż komentarz

      @villager: fajne pomysły takie z grupy niech ktoś coś. A kto ma za realizacje tego zapłacić?

    •  

      pokaż komentarz

      @pinochet: a kto zapłacił za dostosowanie systemów bankowych pod system wniosków do 500+? ¯\_(ツ)_/¯

    •  

      pokaż komentarz

      @pinochet: jako ciekawostkę dodam że dowody osobiste można weryfikować przez ten sam terminal który jest używany do płatności kartą i jest często w salonach operatorów GSM

  •  

    pokaż komentarz

    To może mały pomysł... PESELE szefostwa T-Mobile są ogólnie dostępne... także tego ( ͡° ͜ʖ ͡°)

  •  

    pokaż komentarz

    Aaa ja nie mam telefonu

    źródło: i.ytimg.com