Veritasium (16M+ followers) shares a practical experiment where Linus Tech Tips is censored using an exploit of the 2G/3G communication protocol known since 2014, with the help of which SMS or calls were intercepted in Skirmant’s account as well.
2 factor authentication? waste of time if you use SMS 😀 location tracking based on connection boxes or call interception? a teenage neighbor with an iPad would probably learn in 15 minutes.
How do the bad guys use it on the front? If you have a phone number, you can find out in which city/district you live based on information that is practically available to the public, maybe you can write some nice comments on social networks, or put your drunk face on vkontakte.
Nice sms, "take a photo of a strategic object, put it in an officer’s car, I will transfer 300 euros". And if you contact about 1000 people like that, how many of them will respond, for example?
From a YT comment:
Veritasium uses your phone to find you and then sends Vsauce the location.
"Hey Vsauce, Michael here, your home security is pretty good. Or is it?"
Tai paziurint placiau i Skirmanto pakelta tema apie tinklu sauguma
byu/a-slippin-jimmy inlithuania
Posted by a-slippin-jimmy
2 Comments
Mano nuomone, labai daug vietų perspaudi.
>2 factor authentication? waste of time jei naudoji SMS
Nors dalis paslaugų tiekėjų naudoja 2FA per SMS, iš esmės tai nesuteikia sukčiui prieigos prie sistemos. Jam dar reikės ir prisijungimo duomenų. Na ir bent jau man asmeniškai retai tenka susidurti su 2FA per SMS. Dažniausiai tam yra appsas.
>paauglys kaimynas su ipadu turbut ismoktu per 15 minuciu.
Kaip pateikta pačiame video, pirmiausia tau reikia įsigyti prieigą, kuri kainuoja virš 10k/mėn., tad argumentas, kad gali sulaukti panašios atakos iš minimalius gabumus turinčio paauglio yra nevalidus.
>Kaip murziai burliokai panaudoja tai fronte?
Nuoširdžiai, jei ant to pasimauni – pačio kaltė. Nėra naujiena, kad SMS ir skambučiai yra viena pažeidžiamiausių vietų. Kasdien Lietuvoje patys su skambinėjančiais rusakalbiais susiduriame ir jau tikriausiai niekam tai nuostabos nekelia. O tiek esantys mūšio lauke, tiek aplamai bent kiek artimiau dirbantys su nevieša / konfidencialia informacija puikiai žino, kad veiklos duomenimis galima dalintis tik tam skirtais kanalais.
>Turint telefono numeri, pagal praktiskai viesai prieinama info issiaiskint kokiam mieste/rajone gyveni
Kam kažko googlinti pagal telefono numerį, jei žinai vardą į pavardę? Kaip tik sakyčiau, kad pagal telefono numerį retu atveju ką išgooglinsi, nes mes telefono numerių beveik nenaudojame. Manau daug didesnis šansas, kad kas nors bandys į google paskyrą įsilaužti ir patikrinti buvimo vietų istoriją, nei gaus prieigas prie daug kainuojančios sistemos, kad pagal telefono numerį sužinotų kur esi.
>Gauni sms, “pafotkink strateginiu objektu
Sėkmės su tokiu būdu. Pabandyk šiais laikais Lietuvoje išsiųsti MMS. Tiksliau ne išsiųsti, o peržiūrėti gautą. Dar nemažas šansas, kad MMS net neateis.
Apibendrinant yra tiek daug paprastesnių ir efektyvesnių apgaulės būdų. Tiesiog neefektyvu taikytis į plačią auditoriją pateiktu būdu, bet suprantu, kad gali būti naudingą prieš konkretų asmenį. Galbūt tai kokiose trečiose šalyse ir veiksminga, kur viskas sukasi per SMS, bet vargiai įsivaizduoju, kad būtų efektyvu išsivysčiusiose ekonomikose. “Social engineering” yra tikrai efektyvesnis ir daugiau mažiau finansų reikalaujantis sprendimas scamams kurti.
Edit: 3G palaipsniui visur užsidaro, lieka 2G. Sulaukti skambučio iš ko nors per 2G jau gali būti savotiškas red flagas. O atskirti gan lengva, nes garso kokybė tokia, lyg iš praeito amžiaus skambina.
ha, informatikas! /jk