Từ email đến số điện thoại, một cách tiếp cận OSINT mới (2019)

 (martinvigo.com)
1 điểm bởi GN⁺ 2023-11-18 | 1 bình luận | Chia sẻ qua WhatsApp

Tóm tắt: Từ email đến số điện thoại, một cách tiếp cận OSINT mới

  • Gần đây đã có nghiên cứu về các điểm yếu và vector tấn công trong tùy chọn đặt lại mật khẩu

  • Tại BSides Las Vegas, đã công bố một công cụ tên là "Ransombile", giúp tự động hóa việc đặt lại mật khẩu qua SMS và tạo điều kiện cho các cuộc tấn công có chủ đích vào thiết bị di động bị khóa nhưng có thể tiếp cận vật lý

  • Tại DEF CON và CCC, vấn đề đặt lại mật khẩu qua điện thoại thông qua lỗ hổng của hệ thống thư thoại đã được nêu ra

  • Phát hiện rằng khi đặt lại mật khẩu, một số chữ số của số điện thoại được hiển thị một phần trên giao diện người dùng

  • Không có tiêu chuẩn thống nhất giữa các website về cách che giấu thông tin định danh cá nhân (PII)

  • Ví dụ, với Paypal, chỉ cần biết địa chỉ email là có thể biết được 5 trong 10 chữ số của số điện thoại

Điều tra chuyên sâu

  • Lập và rà soát danh sách các website phổ biến cho phép bắt đầu quy trình đặt lại mật khẩu chỉ bằng email
  • Ví dụ, nếu có tài khoản eBay và LastPass, kẻ tấn công chỉ cần biết địa chỉ email cũng có thể biết được 7 chữ số của số điện thoại

Tìm các chữ số còn lại

  • Số điện thoại Mỹ gồm mã vùng, mã tổng đài và số thuê bao
  • Có thể kiểm tra danh sách cập nhật về mã vùng và các mã tổng đài tương ứng thông qua North American Numbering Plan Administrator (NANPA)
  • Ví dụ, ở San Francisco, với 216 mã tổng đài chưa được cấp trong mã vùng 415, có thể thu hẹp các số điện thoại khả dĩ xuống còn 784

National Pooling Administration

  • Có thể loại trừ các số điện thoại không hợp lệ dựa trên số thuê bao thông qua National Pooling Administration, cơ quan quản lý việc phân bổ số điện thoại
  • Ví dụ, với dải 415-272-XXXX ở Sausalito, có thể loại trừ 415-272-[0-8]XXX và chỉ tập trung vào các số bắt đầu bằng 9

Vẫn còn nhiều số khả dĩ

  • Sau khi biết được 7 chữ số trong số điện thoại của mục tiêu có địa chỉ email, có thể dùng NANPA và National Pooling Administration để thu hẹp các số điện thoại khả dĩ
  • Thay vì kiểm tra thủ công các số còn lại, có thể dùng công cụ tìm kiếm, dịch vụ trực tuyến và các dịch vụ hệ thống điện thoại trực tuyến để tìm số điện thoại gắn với địa chỉ email

Dùng ngược lại cùng vector tấn công

  • Có thể thử đặt lại mật khẩu bằng số điện thoại trên các dịch vụ như Amazon và Twitter để lấy lại một phần ký tự của địa chỉ email
  • Có thể dùng địa chỉ email để thu thập các chữ số số điện thoại từ nhiều website, dùng dữ liệu công khai từ NANPA và National Pooling Administration để rút gọn danh sách số điện thoại khả dĩ, rồi lặp qua danh sách còn lại và đối chiếu các ký tự email khớp với địa chỉ email của mục tiêu

Tự động hóa

  • Thông qua công cụ "email2phonenumber", có thể cung cấp một phần số điện thoại để nhận danh sách các số điện thoại hợp lệ, đồng thời dùng chức năng đặt lại mật khẩu của Amazon và Twitter để brute-force các số điện thoại còn lại nhằm tìm email khớp

Các quốc gia khác

  • Có thể tận dụng hệ thống đánh số điện thoại của các quốc gia ngoài Mỹ để thu thập toàn bộ chữ số của số điện thoại
  • Ví dụ, ở Tây Ban Nha, số di động có 9 chữ số, và eBay hay LastPass không điều chỉnh việc che giấu theo độ dài số điện thoại nên có thể biết hơn một nửa số điện thoại

Kết luận

  • Do không có phương pháp chuẩn hóa để che giấu PII, thông tin từng phần về địa chỉ email và số điện thoại có thể bị rò rỉ từ các dịch vụ trực tuyến
  • Đặc biệt ở những quốc gia có số điện thoại ngắn, nhiều dịch vụ không điều chỉnh việc che giấu theo độ dài số điện thoại nên có thể làm lộ toàn bộ số điện thoại
  • Đề xuất cho phép người dùng đặt các nhãn như "email cá nhân" hoặc "điện thoại công việc", rồi hiển thị nhãn thay vì PII khi đặt lại mật khẩu

Ý kiến của GN⁺

Điều quan trọng nhất trong bài viết này là việc phát hiện ra một cách tiếp cận OSINT mới có thể suy ra số điện thoại chỉ từ địa chỉ email. Phương pháp này có thể tạo ra tác động lớn đến quyền riêng tư và bảo mật, đồng thời giúp nâng cao cảnh giác trước các kẻ tấn công lợi dụng những điểm yếu này. Bài viết mang đến một chủ đề thú vị cho những người quan tâm đến kỹ thuật phần mềm và bảo mật, đồng thời nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-11-18
Ý kiến Hacker News
  • Một người dùng chia sẻ rằng họ đã mua phụ tùng ô tô từ một người bán gần như lừa đảo, nhưng sau nhiều tuần người bán đã nhận tiền mà vẫn không giao đủ toàn bộ đơn hàng. Sau khi liên lạc qua nhiều nền tảng, họ thu thập được một phần thông tin nhận dạng của người bán, rồi dùng nó để gọi đến nơi làm việc của người bán và yêu cầu gửi phụ tùng; ngày hôm sau, người bán đã gửi toàn bộ hàng.
  • Một người dùng khác nhắc đến cơ sở dữ liệu CNAM (chỉ dành cho Mỹ), giải thích rằng nó được các nhà mạng dùng để cung cấp caller ID dạng chữ cái, nhưng hầu hết nhà mạng không hiển thị thông tin này dù vẫn có thể truy cập được. Việc tra cứu cơ sở dữ liệu CNAM không miễn phí, nhưng có lẽ vẫn có thể tìm ra cách tra hàng trăm số với chi phí tương đối rẻ.
  • Một người dùng chỉ ra rằng PayPal, chỉ cần biết địa chỉ email, sẽ hiển thị năm chữ số bao gồm mã vùng, còn nếu kẻ tấn công biết mật khẩu của mục tiêu thì chỉ cần hiện ba chữ số; họ chỉ trích PayPal vì coi đây là vấn đề do thiết kế và không có hành động xử lý. Họ cũng thắc mắc về cách lấy số điện thoại từ LinkedIn hoặc cách liên kết số với dữ liệu từ nơi khác.
  • Một người dùng khác khuyên nên cân nhắc dùng số điện thoại ảo, đồng thời nói rằng tùy chọn SIM thứ hai ở Mỹ vẫn còn khá hiếm. Họ cũng cho biết nhiều trang web tra cứu số điện thoại để chặn nhà cung cấp VOIP, và vì vậy đôi khi tài khoản sẽ không thể được sử dụng lại.
  • Một người dùng ở Thụy Điển giải thích rằng email và số điện thoại của họ được liệt kê công khai trên nhiều danh bạ điện thoại, và tại Thụy Điển, việc cho phép tìm kiếm địa chỉ và số điện thoại là thông lệ tiêu chuẩn. Họ nói điều này cũng có mặt tích cực là khiến mọi người không xem những thông tin đó là bí mật, và việc biết số của ai đó cũng không giúp ích gì cho việc mạo danh người đó.
  • Một người dùng dùng cách nhắc tên bị biến tấu nhẹ để đùa cợt về quyền riêng tư.
  • Một nhà đầu tư mạo hiểm nói đây là kỹ thuật hữu ích với những người phớt lờ email.
  • Một người dùng khác đánh giá rằng sự phiền toái khi dùng địa chỉ email khác nhau và số Google Voice khác nhau cho từng dịch vụ cuối cùng là xứng đáng.
  • Một nhà nghiên cứu bảo mật đặt câu hỏi liệu việc công bố các kết quả nghiên cứu như công cụ tự động tạo số điện thoại từ email có thực sự chính đáng hay không. Họ lập luận rằng số trường hợp sử dụng xấu sẽ nhiều hơn hẳn lý do tốt, và bày tỏ nghi ngờ liệu nhà nghiên cứu có được miễn trừ chỉ vì làm điều đó cho mục đích “nghiên cứu” trong một vùng xám, hay họ có cảm thấy đã giải quyết vấn đề sau khi trao đổi với các công ty bị lộ lỗ hổng hay không.
  • Người dùng cuối cùng nói rằng họ thường xuyên xem trang trending các dự án Python trên GitHub, và thấy khó hiểu vì sao kho mã này lại lên xu hướng. Họ cho rằng thật thú vị khi chỉ cần được đăng lên Hacker News cũng có thể đưa nó lên trang trending Python, dù nhiều dịch vụ đã vá lỗ hổng từ trước.