web-dev-qa-db-ja.com

「SMSオンラインで受け取る)サイトが詐欺になりませんか?

すべてのSMSが特定の電話番号セットで受信した(サイトが所有する)を表示できるサイトがあります。これは、SMSを使用した2要素認証を必要とするサービスを対象とするようです、そのSMSの電話番号を提供できない(または提供したくない)場合。代わりに、そのサイトから提供された電話番号を入力し、そのサイトを使用して認証SMSを表示します。

明らかに、これによりセキュリティが低下します。これは、基本的に2要素認証を1要素認証に戻すためです(電話番号は「所有するもの」ではないため)。しかし、それとは別に、そのようなサイトは安全に使用できますか?受け取ったSMS=を使用して私のアカウントにアクセスしたり、他の悪意のある目的で使用したりすることはありますか?

参考までに、私が話しているサイトは http://receive-sms-online.org/ です。

5
svick

このサービスは、すべてのSMS受信したすべてのインターネットユーザーが利用できるようにします。つまり、SMSを介して受信した機密情報はすべて侵害されます。

SMSを介して2要素認証を使用する多くのWebサイトは、SMSも使用して他の機密情報を通信します。この場合、この情報は機密情報ではありません。たとえば、パスワードの回復にSMSを使用する場合もあります。つまり、「携帯電話に新しいパスワードを送信する」と表示される「パスワードを忘れた」をクリックして、アカウントをハイジャックする可能性があります。 "オプション。攻撃者はオンラインSMSサービスで新しいパスワードを監視する可能性があります。

SMS過去1時間に受信した番号の1つを見ると、ほとんどのメッセージは、送信元のWebサイトを推測することができますが、所属するアカウントを見つけるために必要なコンテキストが不足しています。 。情報を悪用するには、それらをどこかのアカウントにリンクする必要があります。ただし、登録するサービスが送信するものを知ることができません。メッセージにユーザー名が含まれている場合、アカウントはかなり危険にさらされています。

SMSサービスが悪である場合に何ができるかについて質問しました。あなたが彼らの番号を使って登録したウェブサイトは彼らの番号があなたの番号であると信じているので、彼らはその番号から受け取るいくつかのコマンドを本物であると見なすかもしれません。これによりどのオプションが提供されるかは、Webサイトによって異なります。

8
Philipp

私は過去にそれらを使用して、自分にさかのぼってほしくないアカウントを作成したことがあります(電話番号を教えたくない)。 SMSメッセージのほとんどは、非常に小さな情報の断片のみを含み、他には何も含みません。サービスを使用するために詳細を入力する必要もありません。そのため、 SMSがリンクされていたアカウントを追跡します。

私はこれを重要なものには使用しませんが、1回限りのアカウント作成と検証で使用する場合はかなり安全です。

4
TrinityInfoSec