tl; dr私の投稿を誤解している人のために:GMailを使用している友達が2FAが有効になっていて、自分のアカウントにログインしていると突然言ったとします。そして、リクエスト時に受け取った2FAコード(SMS)がyour番号からのものであること。それは不可能だろう?それがここで起こったことですが、この場合は2人の友人の間ではなく、私と完全な見知らぬ人の間でした。
元の投稿:
私はGoogleアカウントを持っています。さまざまな理由により、自分のアカウントで2要素認証(2FA)をアクティブにすることを決めました(つまり、パスワードを入力し、登録済みの携帯電話番号に送信された6桁のコードを入力してログインを確認します) )。これは約1か月半前に行いました。
最初に受け取ったいくつかのコードは、私の電話/サービスプロバイダーによって「Google」と識別された送信者からのものです。その後、2020年1月21日にログインしようとしたところ、携帯電話番号から2FAコードを受け取りました。当時はあまり考えませんでした。送信する2FAコードが多すぎるか、何であれ、Googleがバックアップとして数個の追加の数値を使用していると推測しました。しかし、明らかに通常の携帯電話番号から受信したことに驚いたので、SMSは保持しました。
それ以来、私が受け取ったすべての2FAコードは「Google」から送信されており、携帯電話の番号から(つまり、識別可能な番号を持つ送信者から)別のコードを受け取ったことはありません。少し気になったので、そのときにコードを受け取った乱数を呼び出しました。驚いたことに、誰かが実際に答えました。
彼らは私が彼らの番号から2FAコードを受け取ったという事実にも同様に驚いていたようで、完全に混乱していました。彼らは私に自分の名前と場所を教えてくれ、WhatsAppでそれらを見つけることができると教えてくれました(できませんでした。他の人の電話を使ってWhatsAppで見つけようとしましたが、それもうまくいきませんでした)。
今、私は本当に混乱しています。いくつかの情報については、SEコミュニティに問い合わせると思いました。
この説明に関連する可能性があるいくつかの情報:
すべての「通常の」2FAコードメッセージは常に英語です(ここに最新のものがあります。コードを使用したらメッセージを常に削除します。そのため、ここに履歴がありません)。
私が受け取った誤ったコードはドイツ語でした(私はドイツに住んでいます。送信者の番号はドイツの番号でもあります。私が話をした人は、彼らがどこに住んでいたかを述べて確認しました)。その人は、彼らもGoogle(Gmail?)を使っていると私に言った。 WhatsAppで実際に到達可能かどうかを尋ねる(話した後で)送信したテキストは、下のスクリーンショットでも確認できます(執筆時点で応答がありません)。
誤ったコードが機能しました。うまくログインできたので、一番びっくりしました。
2019年11月19日19日にGoogleから「重大なセキュリティアラート」を受け取りました:「Googleがあなたのアカウントで異常なアクティビティを検出しました。他の誰かがサインインした可能性がありますメールを削除しました。アカウントのアクティビティを確認して、他のユーザーがアクセスできないようにしてください。」しかし、私が知る限り、データを失うことはなく、疑わしいアクティビティも見られませんでした。これは、とにかく2FAをアクティブ化するずっと前でした。
Googleアカウントのセキュリティページに異常はありません。
私の知る限り、私のアカウント(Googleまたは他の場所で)が侵害されたことはありません。
それが役に立った場合、私は自宅のLenovo Thinkpad X230でUbuntu 18.04を使用しています(職場の別のUbuntu 18.04マシン)。私の電話はAndroid v.7.1.1を実行しているZTE Axon 7です(私がそれを更新する方法はありません!)。それが可能であれば、アプリのリストなどを提供できます役立つ。
私の質問は:何が起こっているのですか?このように2FAコードを送信することは可能ですか?
SMSのSenderIdは、Googleとあなたの電話の間にいる誰によっても簡単になりすまされる可能性があります。 GoogleがSMSを直接送信するのではなく、携帯電話に(おそらく間接的に)ネットワーク接続しているサービスプロバイダーを使用することに注意してください。そして、Googleとあなたの電話の間の電話会社は($のために)人から人以外のトラフィックを除外したいので、ルート上の誰かがSMSを人から人へのように見せることは理にかなっています-person(p2p)トラフィック。p2p番号からの(ランダムな)SenderIdを選択します。そして、その番号がすでに使用されている場合はさらに良いでしょう。 :-)
私は、2FAを開発し、2FAにSMSを配信し、SMSルートを使用し、SenderIdスプーフィングを聞いたSMSアグリゲーターで働いています。