Twitter無効化 テキスト ダイレクト メッセージの 2 テル認証では、SMS 詐欺がどのように機能し、アプリ ビルダーがそれに対してどのように防御できるかを深く掘り下げることで、ストレスを感じることはないと思います.
ひねくれたインセンティブ、目先の規制、技術的創意工夫の注目を集める回顧録です。
掘り下げましょう! 👇
のすべてのサブスクライバーに表示Conscious Musings — この準備 (および準備できる他のもの) は、新しいシーケンスの半分です。電話してます技術的に熟考中 . この半分の好奇心のレベルは、おそらくエンジニアとハッカー向けの詳細な説明、紹介オブジェクト、および追加のエンジニアリングに関連するものになるでしょう.
それがあなたのお茶ではない場合は、サブスクリプションの技術的熟考を自由に選択してください — 私は提案を受け取りませんでした! 😊
まずはTwitterの小説発表をおさらいしましょう:
恐ろしい英語で言えば、Twitterの有料モデルの非常にトップの顧客が、ログインを通じてすべての方法で携帯電話に送信されるコードを取得するという単純な手順です.
SMS 詐欺を突き止めるための最も重要なことは、いくつかの数字が であることを突き止めることです。 トップレート。 たまたまこの数量に電話または SMS を送信する必要がありますが、価格は あなた になります。 いくらかの現金 — 毎回数十セント — そして、金額の所有者は、これらの数十セントの半分を自分で受け取ります.
これらの携帯電話番号の自宅所有者は、電話と同等の価格で提供し、顧客に価格を提供する正当な製品とプロバイダーを随時提供しています。 -投票、デート、テクノロジー強化.
ネガティブな俳優、彼と呼びましょう ボブ, いくつかのトップ レートの携帯電話番号の助けを得る
。 ボブはおそらくハッカーになるか、否定的な過去をはるかに超えて携帯電話コミュニティの運営者になるでしょう.
ボブは、彼のトップ レートの携帯電話番号にテキスト ダイレクト メッセージを送信できるネット キャリアを見つけました。 これらのメッセージは、おそらく 2 桁の認証コード、ワンタイム パスワード、またはキャリアの半分として実際の人に送信されるその他のテキスト ダイレクト メッセージです (例: partiful.com は、SMS の戦略でトーナメント リマインダーを送信します.
ボブは、キャリアに送信させる手段を見つけました 何百のSMSを彼のトップレートの携帯電話番号に送りました。 これはおそらく非常に簡単です。 フロント ストップ キャリアはおそらく簡単に監視でき、バックエンド エンドポイントはおそらく保護されておらず、リバース エンジニアリングが容易です。
さらに悪いことに、多くの製品やプロバイダーは、SMS を送信するための標準化されたエンドポイントを使用しています。 これにより、Bob が攻撃対象のネット サイトを受信することが非常に簡単になります。 例として、通信事業者が顧客を認証し、Auth0 に相当する 2FA または OTP コードを送信するために 3 回目の機会を使用する場合、SMS を送信するためのエンドポイントはほぼ特定されます。Bob が達成したいのは、Auth0 を確認する手段を確立することだけです。ネットキャリアのID(オンラインキャリアのフロントエンドはこのIDを含むことを期待しているので、かなり簡単です)、その後攻撃することができますすべてその三次キャリアを行使するネットサイト.
フックまたは詐欺師によって、ボブはキャリアに数百の SMS を最高料金の携帯電話番号に送信させます。 受信キャリアは 💵💵💵 を失い、ボブの収益は失われます
SMS 詐欺を一時停止する特効薬はありません。 ただし、以下にリストされているのは、機能する可能性のある 1 組の提案です:
Auth0 に相当する、顧客を認証するために 3 回目の通信事業者を使用する場合、おそらく、SMS を送信するエンドポイントを難読化する可能性があります。 これは攻撃を完全に一時停止するわけではありませんが、攻撃が発生しているように見えることは非常に困難です.
バイク泥棒がバイクを入手するために絶対的なトップを狙うのと同じように、正当なハッカーはネット製品やプロバイダーに感染します。ハッキングがより簡単になります。 私の推測では、この方法は 延長されたテール
に対して効果的に十分に機能します。 個のアプリ
クラウド プロバイダー、偽の ISP、またはその他の IP からのすべての要求をブロックします。大雑把。 これは非常に簡単に実施できるはずです — 多くの製品やプロバイダが存在し、IPハンドルの驚異的な評価を可能にするでしょう — そしておそらく非常に効果的です.
レート制限 を SMS を送信して Bob の攻撃をブロックするエンドポイントに送信します。 効果が正確であれば、これは正当な顧客に影響を与えません。 繰り返しになりますが、このまさにトップは、単純な攻撃に対して機能します。 ボブが変動する IP アドレスからリクエストを送信する攻撃を設計した場合 — 分散 攻撃 — これは機能しません。
最も簡単な SMS の送信先明示的な携帯電話の数は、その携帯電話の数をグルーヴィーな長さでブロックするよりも数倍早くなります。 フロントエンドでこれを達成しましょう。ただし、ボブが決心した場合、彼は攻撃するバックエンド エンドポイントを別のものとして決定する可能性があります。 バックエンドで携帯電話の数をブロックするのは非常に困難です。携帯電話番号のドキュメントを保存する必要があり、新しいログインが試行されます.
実在の人物に力を与えるSMS を送信するよりも早く CAPTCHA を解決します。 この方法は攻撃者をブロックするのに効果的ですが (CAPTCHA を解決することは非常に困難であり、大規模に実行するには費用がかかります)、キャリアの実際の人間の乗り心地を低下させます.
タイトルとブロック トップレートレート携帯電話番号、libphonenumber
の使い方。 有望そうに見えても、どこまで本当の情報で、この方法がどれだけ効果があるのかはよくわかりません
有料アカウントにテキスト ダイレクト メッセージを最も簡単に送信できます。 これは、Twitter が長い間使ってきた手順です。 これは否定的な選択肢ではありませんが、おそらく上記のチェックリストからわかるように、他にも多くの方法を利用できると思われます.
過度の連続で携帯電話コミュニティ事業者をブロック偽の顧客。 これは明らかに否定的なコミュニティ運営者をブロックしますが、コミュニティに多くの正当な顧客がいる場合は効果的ではありません.
適切な解決には、上記のアプローチを十分に実行する必要があります、攻撃者がより単純なターゲットに移動しない限り、時間の資金と有効性によって優先されます.私のチームが放射性降下物にどのように対処したかについて共有します。 しかし、それはまたしても回想録です… 👨💻
問題は私を最終レベルに導きます:
IMO、Twilio — 支配的な SMS API — には
山岳
機会 は、これを (無料?) アドオンとして彼らの作った API に提供します. )
Twilio はすべてのアカウントで偽の携帯電話番号と通信事業者に関するデータを持っているため、Twilio は不慣れな効果の範囲内で負の番号をブロックしますおよびキャリア 急いで — より早くそれらは、ネット製品とプロバイダーのペアの山のようなものになります.
他の提案、提案、個人的な尊敬すべき人々へのアプローチを聞きたいです — 以下にコメントを書いて共有してください.
ここまでです — 保護を提供します o これらのエンドポイント、そしてプライベートな山岳週間!
%%item_read_more_button% %
