Del correo electrónico al número de teléfono, un nuevo enfoque de OSINT (2019)

 (martinvigo.com)
1 puntos por GN⁺ 2023-11-18 | 1 comentarios | Compartir por WhatsApp

Resumen: del correo electrónico al número de teléfono, un nuevo enfoque de OSINT

  • Investigación reciente sobre vulnerabilidades y vectores de ataque en opciones de restablecimiento de contraseña

  • Presentación de una herramienta llamada "Ransombile" en BSides Las Vegas, que automatiza el restablecimiento de contraseñas por SMS y facilita ataques dirigidos contra dispositivos móviles bloqueados con acceso físico posible

  • En DEF CON y CCC se planteó el problema del restablecimiento de contraseñas por llamada telefónica mediante vulnerabilidades en sistemas de correo de voz

  • Se descubrió que, al restablecer contraseñas, algunos dígitos de números telefónicos se muestran parcialmente en la UI

  • No existe un estándar entre sitios web para la forma de ocultar información de identificación personal (PII)

  • Por ejemplo, en el caso de Paypal, con solo conocer la dirección de correo electrónico se pueden averiguar 5 de los 10 dígitos del número telefónico

Investigación a fondo

  • Se elaboró y revisó una lista de sitios web populares donde se puede iniciar el restablecimiento de contraseña usando solo el correo electrónico
  • Por ejemplo, si una persona tiene cuentas en eBay y LastPass, un atacante puede averiguar 7 dígitos del número telefónico con solo conocer la dirección de correo electrónico

Encontrar los dígitos restantes

  • Los números telefónicos de EE. UU. se componen de código de área, código de central y número de abonado
  • A través de North American Numbering Plan Administrator (NANPA) es posible consultar una lista actualizada de códigos de área y las centrales correspondientes
  • Por ejemplo, en San Francisco, usando los 216 números de central no asignados al código de área 415, se puede reducir la cantidad de números telefónicos posibles a 784

National Pooling Administration

  • A través de la National Pooling Administration, que gestiona la asignación de números telefónicos, se pueden excluir números telefónicos no válidos con base en el número de abonado
  • Por ejemplo, en los números 415-272-XXXX de Sausalito, se puede excluir 415-272-[0-8]XXX y concentrarse solo en números que empiezan con 9

Aún quedan muchos números posibles

  • Después de averiguar 7 dígitos del número telefónico de un objetivo que tiene una dirección de correo electrónico, se puede usar NANPA y la National Pooling Administration para reducir los números posibles
  • En lugar de verificar manualmente los números restantes, se puede encontrar el número telefónico asociado con la dirección de correo electrónico mediante motores de búsqueda, servicios en línea y servicios telefónicos en línea

Usar el mismo vector de ataque al revés

  • A través de servicios como Amazon y Twitter, se puede intentar un restablecimiento de contraseña con un número telefónico y recuperar parte de los caracteres de la dirección de correo electrónico
  • Reuniendo dígitos del número telefónico en varios sitios con la dirección de correo electrónico, reduciendo la lista de números posibles con datos públicos de NANPA y la National Pooling Administration, e iterando sobre la lista restante, es posible correlacionar los caracteres del correo electrónico que coincidan con la dirección del objetivo

Automatización

  • Con una herramienta llamada "email2phonenumber" se puede proporcionar un número telefónico parcial y obtener una lista de números válidos; además, se pueden usar las funciones de restablecimiento de contraseña de Amazon y Twitter para hacer fuerza bruta sobre los números restantes y encontrar el correo electrónico coincidente

Otros países

  • También es posible recopilar todos los dígitos de un número telefónico aprovechando el sistema de numeración telefónica de países distintos de EE. UU.
  • Por ejemplo, en España los números móviles tienen 9 dígitos, y eBay o LastPass no ajustan el enmascaramiento a la longitud del número telefónico, por lo que se puede conocer más de la mitad del número

Conclusión

  • Como no existe una forma estandarizada de enmascarar PII, los servicios en línea pueden filtrar información parcial sobre direcciones de correo electrónico y números telefónicos
  • En especial en países con números telefónicos cortos, muchos servicios no ajustan el enmascaramiento a la longitud del número y pueden revelar el número completo
  • Se propone permitir que los usuarios configuren etiquetas como "correo personal" o "teléfono del trabajo" para mostrar etiquetas en lugar de PII durante el restablecimiento de contraseña

Opinión de GN⁺

Lo más importante de este artículo es el hallazgo de un nuevo enfoque de OSINT que permite averiguar un número telefónico solo con una dirección de correo electrónico. Este método puede tener implicaciones significativas para la privacidad y la seguridad, y puede ayudar a crear mayor conciencia sobre atacantes que explotan estas vulnerabilidades. El artículo ofrece un tema interesante para quienes se interesan en la ingeniería de software y la seguridad, y subraya la importancia de proteger los datos personales.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-11-18
Comentarios en Hacker News
  • Un usuario compartió que compró autopartes a un vendedor medio estafador, pero que este, tras recibir el dinero, no envió el pedido completo durante varias semanas. Al comunicarse por varias plataformas, logró obtener parte de la información de identidad del vendedor y, con eso, llamó a su lugar de trabajo para pedir que enviara las piezas; al día siguiente, el vendedor envió todos los artículos.
  • Otro usuario mencionó la base de datos CNAM (solo de EE. UU.) y explicó que se usa para que las operadoras proporcionen identificador de llamadas alfabético, pero que sigue siendo accesible aunque la mayoría de las operadoras no muestren esa información. Consultar la base de datos CNAM no es gratis, pero dijo que probablemente se puede encontrar una forma de consultar cientos de números por un costo relativamente bajo.
  • Un usuario señaló que PayPal muestra cinco dígitos, incluido el código de área, con solo conocer una dirección de correo electrónico, y que si un atacante conoce la contraseña del objetivo, solo quedan ocultos tres dígitos. Criticó a PayPal por considerar esto un problema de diseño y no tomar medidas. También se preguntó cómo obtener el número desde LinkedIn o cómo vincularlo con un número en otro lugar.
  • Otro usuario aconsejó considerar el uso de números virtuales y mencionó que la opción de una segunda tarjeta SIM sigue siendo poco común en EE. UU. También dijo que muchos sitios consultan los números telefónicos para bloquear proveedores de VOIP, lo que a veces hace imposible volver a usar una cuenta.
  • Un usuario de Suecia explicó que su correo electrónico y número de teléfono aparecen públicamente en muchas guías telefónicas, y que en Suecia es una práctica estándar que las direcciones y los números telefónicos sean consultables. Mencionó como aspecto positivo que esta exposición pública de datos personales hace que la gente no considere esta información como secreta, y que conocer el número de alguien no ayuda a hacerse pasar por esa persona.
  • Un usuario utilizó una forma humorística de mencionar nombres ligeramente alterados para proteger la privacidad.
  • Un capitalista de riesgo comentó que es una técnica útil para tratar con personas que ignoran los correos electrónicos.
  • Otro usuario consideró que, al final, valió la pena la molestia de usar una dirección de correo distinta y un número de Google Voice diferente para cada servicio.
  • Un investigador de seguridad cuestionó si está justificado publicar resultados como una herramienta que genera automáticamente números telefónicos a partir de correos electrónicos. Sostuvo que hay muchos más casos de uso malos que buenas razones, y se preguntó si el investigador queda exento por hacerlo en nombre de la "investigación" y por estar en una zona gris, o si sintió que había resuelto el problema tras hablar con las empresas afectadas por la divulgación de la vulnerabilidad.
  • El último usuario mencionó que revisa con frecuencia la página de tendencias de proyectos Python en GitHub, y le confundía por qué ese repositorio estaba en tendencia. Le pareció interesante que, aunque muchos servicios ya habían corregido la vulnerabilidad, el simple hecho de publicarlo en Hacker News pudiera bastar para que apareciera en la página de tendencias de Python.