X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • DDoS test
    • Penetracijski test
    • Red Teaming
    • SCADA sistemi – varnostni pregled
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • Simulacija napadov po e-pošti
    • Simulacija vdora in napada
    • Brezplačna orodja
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • Email
  • Facebook
  • LinkedIn

Kaj me briga za 533M ukradenih telefonskih številk uporabnikov Facebooka!

7. aprila, 2021 by Matjaž Kosem

Nepridipravi so na javnem hekerskem forumu razkrili podatke več kot 533 milijonov uporabniških računov najbolj znanega družbenega omrežja, tokrat s poudarkom na telefonskih številkah. Po oceni nacionalnega odzivnega centra za kibernetsko varnost SI-CERT naj bi bilo v ta polom vključenih 110.177 številk uporabnikov slovenskih telefonskih omrežij oz. 12 % slovenskih porabnikov omenjene platforme. Tokrat se lahko več kot upravičeno vprašamo, kaj to pomeni zame?

Najprej k odgovoru, ali sem na spisku?!

Predvsem, ali je poleg mojega imena in priimka na spisku tudi moja telefonska številka na spisku? Če ste 100 % prepričani, da svoje telefonske številke nikoli niste posredovali platformi Facebook, ni razloga za preplah. Je pa v današnjih časih vseprepletenih sistemov praktično nemogoče v eni minuti zaključiti, ali FB pozna mojo telefonsko številko ali ne. V vsakem primeru lahko na diskreten način preko spletne strani HaveIBeenPwned preverite, ali se tudi vi na seznamu ukradenih računov. Gre za rešitev, ki dnevno zbira in analizira na milijone ukradenih ter objavljenih baz osebnih podatkov in sedaj omogoča iskanje tudi po telefonski številki.  

Zakaj tak halo?

COVID-19 in posledično delo od doma je prineslo skokovit porast spletnih zlorab – o ukrepih za varnejše delo od doma sem pisal že lani 10 korakov do varnega dela od doma. Vedno bolj se mi zdi, da zaradi vsakodnevne poplave novic o takšnih in drugačnih vdorih spletnih kriminalcev počasi postajamo apatični in se vračamo v »prehistorično« stanje zavesti: »to se mene ne tiče, to se meni ne more zgoditi ali se mi ne bo zgodilo«. V takšnih primerih se spomnim še časov študija, ko smo govorili o biološkem ozadju adaptacije čutil v človeškem organizmu, ampak naj bo t.i. »sindrom kuhane žabe« za ta namen čisto dovolj informativen. Menim, da je ta dogodek v tem kontekstu dobrodošel, saj vnaša nov moment oz. nov stimulus, na katerega preprosto moramo odreagirati – gre za »mojo telefonsko številko«!

Veliko ljudi svoje telefonske številke ne šteje za posebej privatno informacijo, a žal v rokah nepridiprava lahko pomeni pravo nočno moro. Če pa vas že ne skrbi, da vas bo vsake toliko poklical kakšen čudak in vas nadlegoval oz. skušal iz vas izbezati kakšno drugo zanimivo stvar ali nad vami vršiti socialni inženiring, pa ne gre zanemariti naslednjega. Vaša telefonska številka je tudi vaša rešilna bilka za izgubljena gesla v spletnih storitvah, kot so Gmail, Yahoo, Twitter, Facebook, Instagram ipd. Ok, ampak kaj ima to zveze s trenutno tematiko?

Telefonska številka ni vklesana v telefon

Ste morda že slišali za t.i. »SIM swapping attack«? Gre za napad, pri katerem zlonamernež zaposlenega pri mobilnem operaterju s pomočjo socialnega inženiringa prepriča, da telefonsko številko žrtve veže na njegovo SIM kartico. Od tu dalje so napadalcu odprte naslednje možnosti: ponastavi lahko gesla vseh on-line računov, ki so vezana na to telefonsko številko in prestreza lahko vsa enkratna gesla, ki se pošiljajo na to telefonsko številko kot drugi del dvofaktorske avtentikacije. Glede na objavljeno raziskavo v začetku lanskega leta je kar nekaj ponudnikov ranljivih na tovrstne zlorabe.

Največje tveganje seveda predstavlja ugrabitev dostopa do vašega elektronskega predala. Praktično vsako internetno storitev danes vežemo na elektronski naslov, ki služi tudi kot pripomoček pri ponastavitvi izgubljenega gesla. Vaš elektronski predal v napačnih rokah torej lahko pomeni veliko katastrofo.

SMS zloraba za začetnike

Če je za t.i. »SIM swapping« potrebnega nekoliko več dela, pa pri tehniki »Fake SIM recovery« ni praktično nič dela. Vse, kar mora napadalec poznati, je žrtvina telefonska številka in njeno uporabniško ime pri katerekoli aplikaciji, ki uporablja SMS za drugo možnost v primeru obnove gesla. Tehnika »Fake SIM recovery« je lahko uspešna, ker je edina prepoznavna značilnost oz. podpis SMS sporočila mobilna številka, ki pa nam v primeru SMS sporočila iz tujine pove bore malo. Primer napada bi bil na primer takšen:

Žrtev prejme SMS sporočilo, kjer se napadalec predstavi kot legitimni ponudnik (npr. Google Security) in sporoči, da bo zaradi preverjanja identitete preko SMS-a poslana koda, ki naj jo kopira v odgovor na to sporočilo. V drugem koraku bo napadalec pri dejanskem ponudniku storitve simuliral, da je pozabil geslo in zaprosil za reset preko SMS-a. V naslednjem koraku žrtev prejme kodo za reset gesla in jo kopira kot odgovor na prvotno poslan SMS, s čimer napadalec prevzame dostop in kontrolo nad uporabniškim računom.  

Kaj me je dokončno naučil »facebook leak«?

Grehi nekoga drugega nas bodo lahko prizadeli le, če bomo to sami dopuščali. Tako kot varnost za fizično premoženje vzemimo v svoje roke tudi varnost za digitalno premoženje. Varnost se začne in konča pri ključu in odnosu njegovega lastnika. Eno je jasno. Ne le elektronski predal, tudi telefonska številka je osebna stvar, prosto dostopna na spletu je lahko le v izjemnih primerih. Svetujem, da jo odstranite iz podatkovnih baz vseh on-line aplikacij, ki jih uporabljate, če je le mogoče. Za generiranje večfaktorskih gesel dosledno uporabljajte rešitve mobilnih aplikacij, kot so npr. Google Authenticator ipd. Če niste prepričani, da je to možno za vse aplikacije, ki jih uporabljate, si lahko pomagate s stranjo 2fa.directory.

In da ne pozabim. Ne dopustite, da gredo vaši možgani »na pašo«. Izobražujte se, spremljajte trende in širite znanje z drugimi.  

Blog,  Novice,  Security Awareness

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Penetracijski test
  • Red Teaming
  • SCADA sistemi – varnostni pregled
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje
  • DDoS test

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT