رقم هاتفك القديم هو حلم المتسلل - ما تحتاج إلى معرفته

(رصيد الصورة: Africa Studio / Shutterstock)

إذا كنت قد غيرت رقم هاتفك المحمول في أي وقت ، خاصة في السنوات القليلة الماضية ، فربما تكون قد خلقت خطرًا كبيرًا على الأمن والخصوصية لنفسك.

هذا لأن رقم هاتفك القديم ينشئ بوابة للمتسللين والمحتالين والمطاردين للسيطرة على حساباتك على Google أو Facebook أو Amazon أو Yahoo ، واقتحام حساباتك المصرفية عبر الإنترنت وحتى مطاردتك أو ابتزازك ، كما ذكر باحثو برينستون بالتفصيل في ورقة أكاديمية جديدة و موقع ذي صلة .



  • صفقات Cyber ​​Monday: شاهد كل أفضل العروض الآن!

يحدث هذا لأن العديد من مواقع الويب تتيح لك تسجيل الدخول برقم هاتف بدلاً من اسم مستخدم ، ثم تتيح لك إعادة تعيين كلمة المرور عن طريق إرسال رسالة نصية إلى رقم الهاتف.

في حالات أخرى ، ترسل البنوك أو الخدمات المالية الأخرى رموز المصادقة الثنائية (2FA) إلى رقم الهاتف المحمول ، مما يسمح للمحتالين الذين حصلوا على عنوان بريدك الإلكتروني وكلمة المرور من خروقات البيانات بالدخول إلى الحساب.

أخيرًا ، هذا دليل إضافي على أن استخدام أرقام الهواتف المحمولة للتحقق من الحساب والهوية يتسبب في بطء الحركة في الخصوصية وكارثة أمنية.

ون بلس 8 مقابل ون بلس 9

كيف تمنع رقم هاتفك القديم من اختراقك

للحماية من ذلك ، ينصح باحثو جامعة برينستون ، كيفن لي وأرفيند نارايانان ، الأشخاص بتغيير أرقامهم لعدم الإفراج عن الأرقام القديمة لشركات النقل ، ولكن لاستخدام خدمة 'وقوف السيارات الرقمية' التي ستحتفظ بالرقم لك بتكلفة معقولة .

ينصحون أيضًا أن يدرك أي شخص يغير رقمه أن لديك 45 يومًا فقط قبل إعادة الرقم القديم إلى التداول ، وخلال هذه الفترة تحتاج إلى إلغاء ربط الرقم القديم بجميع حساباتك على الإنترنت. (تم الإبلاغ عن هذه القصة في وقت سابق من قبل نائب اللوحة الأم .)

فقط الكثير من الأرقام للذهاب حولها

أوضح لي ونارايانان في ورقتهما البحثية والموقع الإلكتروني الذي اكتشف أنه من بين شركات النقل الأمريكية الثلاث الكبرى ، تتيح لك كل من Verizon و T-Mobile الاتصال بالإنترنت لاختيار رقم هاتف محمول جديد وتقديم قائمة بالإمكانيات المتاحة. (AT&T لا تفعل ذلك).

وكتبوا في ورقة بحثهم 'في الولايات المتحدة' ، 'عندما يتخلى المشترك عن رقم هاتفه المكون من 10 أرقام ، يتم في النهاية إعادة تخصيصه لشخص آخر'.

فترة 'التقادم' للرقم المستخدم سابقًا لعدم استخدامه هي 45 يومًا ، وفقًا لتكليفات لجنة الاتصالات الفيدرالية (FCC). بعد ذلك ، يتم إتاحته لإعادة الاستخدام ، وإذا كان يتحكم فيه Verizon أو T-Mobile ، فسيتم إدراجه في مواقع الويب الخاصة بهما.

في أي وقت من الأوقات ، حسب لي ونارايانان ، هناك حوالي مليون رقم معاد تدويره جاهزة للاستيلاء عليها ، و 'نحن نقدر أن الرقم المتاح يتم الحصول عليه بعد 1.2 شهر'.

بالنظر إلى مواقع Verizon و T-Mobile ، وجد الباحثون أنه من السهل التمييز بين الأرقام 'الجديدة' التي لم يتم استخدامها من قبل والأرقام 'المعاد تدويرها' التي تم استخدامها.

تم تقديم أرقام جديدة في تسلسل متتالي قد يبدو كالتالي:

  • (212) 555-1234
  • (212) 555-1236
  • (212) 555-1243
  • (212) 555-1249
  • (212) 555-1253
  • (212) 555-1260

ستعرض الأرقام المستخدمة سابقًا آخر أربعة أرقام بشكل عشوائي:

  • (212) 555-1234
  • (212) 555-9249
  • (212) 555-2096
  • (212) 555-5884
  • (212) 555-3587
  • (212) 555-5841

(ترتبط رموز المنطقة بموقع العميل المحتمل ، والأرقام الثلاثة الوسطى عبارة عن بادئات تبادل مخصصة لشركات النقل في كتل.)

نظر لي ونارايانان في 259 رقمًا متاحًا من Verizon و T-Mobile ، وتوصلا إلى أن 215 قد تم استخدامها مسبقًا ، ثم حاولوا معرفة ما يمكن أن يفعلوه بها.

المبيعات على غسالات ومجففات

رقم هاتف باندورا

وجد الباحثون أن 171 من الأرقام المعاد تدويرها ، أو 83٪ ، كانت مرتبطة بحساب واحد موجود على الأقل في Amazon أو AOL أو Facebook أو Google أو Paypal أو Yahoo. تتيح لك كل خدمة من هذه الخدمات تسجيل الدخول باستخدام رقم هاتفك المحمول بدلاً من عنوان بريدك الإلكتروني أو اسم المستخدم.

والأسوأ من ذلك ، تتيح لك Amazon و AOL و Paypal و Yahoo أيضًا إعادة تعيين كلمة المرور لحساب عن طريق إرسال نص تحقق يحتوي على رمز مرور لمرة واحدة (OTP) إلى رقم الهاتف المحمول المرتبط - وهو الموقف الذي وصفه لي ونارايان بأنه 'غير آمن بشكل مضاعف'.

بعبارة أخرى ، كان بإمكان لي ونارايانان اختطاف حسابات 171 شخصًا مختلفًا ببساطة باستخدام أرقام هواتفهم القديمة.

وكتبوا في ورقتهم: 'الحسابات ذات التكوين غير الآمن المضاعف ... معرضة لخطر الاستحواذ الفوري'.

كان كل من Facebook و Google أفضل بشأن هذا الأمر ، حيث 'لا يُسمح باسترداد SMS [الحساب] إلا إذا لم يتم تمكين SMS 2FA.'

وإلا ، فسيتعين عليك تقديم نموذج منفصل للتحقق قبل الحصول على OTP لإعادة تعيين الحساب ، أو إرسال OTP إلى حساب بريد إلكتروني احتياطي. (من الخطر استخدام رسائل نصية قصيرة SMS في المصادقة الثنائية - طرق المصادقة الثنائية الأخرى أفضل بكثير.)

الفرز المسبق للأعداد الضعيفة

لم يكن لي ونارايان بحاجة إلى 'المطالبة' بهذه الأرقام من T-Mobile أو Verizon للقيام بذلك. كان عليهم فقط رؤية الأرقام المتاحة على مواقع شركات الاتصالات. سيسمح ذلك للمهاجمين النظاميين بفحص الأرقام المتاحة مسبقًا للحسابات المرتبطة.

وكتبوا: 'يمكن للمهاجم بعد ذلك الحصول على هذه الأرقام وإعادة تعيين كلمة المرور على الحسابات ، وتلقي كلمة المرور لمرة واحدة (OTP) التي يتم إرسالها عبر الرسائل القصيرة وإدخالها بشكل صحيح عند تسجيل الدخول'.

خصم تعليم التفاح في المتجر

على الرغم من أنها تزداد سوءا. قام لي ونارايان بتوصيل أرقام هواتفهم المعاد تدويرها في موقعين مستخدمين 'للبحث عن أشخاص' ، وهما BeenVerified و Intelius ، لجمع معلومات حول المالكين السابقين للأرقام.

مرة أخرى ، أعطى 171 من هذه الأرقام نتائج - الأسماء الكاملة وعناوين البريد الإلكتروني والمواقع وعناوين الشوارع ومعلومات مكان العمل وحسابات وسائل التواصل الاجتماعي. سيحصل المهاجم على بداية جيدة لسرقة هويات هؤلاء الأشخاص ، كل ذلك من مجرد الحصول على أرقام هواتفهم القديمة.

هزيمة المصادقة الثنائية

قام Lee و Narayan أيضًا بتوصيل أرقام الهاتف بهما HaveIBeenPwned ، وهي قاعدة بيانات عبر الإنترنت تتيح لك التحقق مما إذا كانت عناوين البريد الإلكتروني وكلمات المرور وأرقام الهواتف الخاصة بك قد تم الكشف عنها في عمليات اختراق للبيانات وتسريب البيانات وهجمات التصيد الاحتيالي.

بارد ios 14 الشاشات الرئيسية

ووجدوا أن 100 من أصل 259 رقمًا 'تم ربطها ببيانات اعتماد تسجيل دخول مسربة على الويب ، مما قد يمكّن عمليات سرقة الحسابات التي تهزم المصادقة متعددة العوامل عبر الرسائل النصية القصيرة.'

بمعنى آخر ، كانت هذه الأرقام مرتبطة بمجموعات اسم المستخدم وكلمة المرور التي تم اختراقها بالفعل وكانت متاحة في مكان ما عبر الإنترنت.

باستخدام بيانات اعتماد تسجيل الدخول بالإضافة إلى رقم الهاتف ، يمكن للمهاجم تسجيل الدخول إلى الحسابات المحمية بواسطة 2FA المستندة إلى الرسائل القصيرة ، ثم الحصول على نص التحقق باستخدام كلمة المرور لمرة واحدة - والاستيلاء تمامًا على البريد الإلكتروني لصاحب الرقم القديم أو البنك أو غيره حساب على الانترنت.

المطارد ومرسلي البريد العشوائي والمبتزين

حدد لي ونارايانان سيناريوهات ربما تكون أكثر خطورة ، بعضها مرعب للغاية لتخيله. يمكن لأي شخص يتم ملاحقته أو مضايقته تغيير رقمه للهروب من معذبه ، فقط لجعل المطارد يطالب بالرقم القديم بمجرد توفره بعد فترة 'الشيخوخة' المطلوبة البالغة 45 يومًا.

يمكن للمخادعين ومرسلي البريد العشوائي كتابة الأرقام المتاحة ، ثم إرسال رسائل نصية إلى مالكي الأرقام الجديدة بعد المطالبة بالأرقام. يمكن للمحتالين ماكرة الاحتفاظ بالأرقام مؤقتًا ، والاشتراك في Google أو Facebook أو Amazon ، ثم إطلاق الأرقام - والمطالبة بالمال من مالكي الرقم التالي الذين يجدون أنهم لا يستطيعون إنشاء حسابات بشكل صحيح على هذه الخدمات.

لحسن الحظ ، فإن هذا البحث ، الذي تم تقديمه إلى T-Mobile و Verizon مقدمًا ، يسفر بالفعل عن بعض النتائج.

أضافت كلتا الناقلتين تذكيرات إلى صفحات تغيير الأرقام الخاصة بهما لتذكير المشتركين بأن لديهم 45 يومًا لإلغاء ربط أرقامهم القديمة بالحسابات عبر الإنترنت. قامت Verizon أيضًا بتغيير صفحات تغيير الأرقام الخاصة بها بحيث لا يمكنك الاستمرار في النظر إلى الأرقام المتاحة إلى ما لا نهاية.

ومع ذلك ، فإن هذا كله بمثابة تذكير بأنه لا ينبغي استخدام أرقام الهواتف كأوراق اعتماد لتسجيل الدخول أو للتحقق من الحساب أو كدليل على الهوية - الفترة.

    أكثر:أفضل خدمات حماية سرقة الهوية
أفضل عروض Apple iPhone SE (2020) اليومالخطط مفتوحةاحصل على iPhone SE + Premium Wireless جديد بسعر يبدأ من 30 دولارًا شهريًا فقط مينت موبايل الولايات المتحدة لا عقد Apple iPhone SE (2020) (بالتقسيط Apple iPhone SE (2020) (بالتقسيط حر صريح 31.62 دولارًا أمريكيًا/ شهر غير محدود دقيقة غير محدود نصوص 4 غيغابايت البيانات المكالمات:وشملت المكالمات إلى MX & CAنصوص:تم تضمين المراسلة إلى MX & CAالبيانات:(تباطأ إلى سرعات 128 كيلو بت في الثانية) مينت موبايل الولايات المتحدة لا عقد غير محدود دقيقة غير محدود نصوص 4 غيغابايت البيانات المكالمات:وشملت المكالمات إلى MX & CAنصوص:تم تضمين المراسلة إلى MX & CAالبيانات:(تباطأ إلى سرعات 128 كيلو بت في الثانية) عرض الصفقة في منت موبايل حر صريح 31.62 دولارًا أمريكيًا/ شهر عرض الصفقة في منت موبايل احصل على بطاقة هدايا افتراضية بقيمة 100 دولار + سماعات Beat Studio Buds مجانًا - باللون الأسود عند التبديل والتفعيل إلى Visible لا عقد Apple iPhone SE (2020) (بالتقسيط Apple iPhone SE (2020) (بالتقسيط حر صريح 56 دولارًا/ شهر غير محدود دقيقة غير محدود نصوص غير محدود البيانات البيانات:(سرعات تنزيل من 5 إلى 12 ميجابت في الثانية ، وسرعات تحميل 2-5 ميجابت في الثانية) لا عقد غير محدود دقيقة غير محدود نصوص غير محدود البيانات البيانات:(سرعات تنزيل من 5 إلى 12 ميجابت في الثانية ، وسرعات تحميل 2-5 ميجابت في الثانية) عرض الصفقة في حر صريح 56 دولارًا/ شهر عرض الصفقة في الجمعة السوداء: احصل على خصم 80 دولارًا على هذا الهاتف + خصم 50٪ للخطط التي تزيد عن 10 دولارات للشهر الأول من الخدمة تيلو لنا لا عقد Apple iPhone SE (2020) (64 جيجابايت) Apple iPhone SE (2020) (64 جيجابايت) 319 دولارًا صريح 39 دولارًا/ شهر غير محدود دقيقة غير محدود نصوص غير محدود البيانات المكالمات:يتم تضمين المكالمات إلى 60+ دولةالبيانات:2G غير محدود بعد 25 جيجابايت من استخدام بيانات 4G LTE / 5G تيلو لنا لا عقد غير محدود دقيقة غير محدود نصوص غير محدود البيانات المكالمات:يتم تضمين المكالمات إلى 60+ دولةالبيانات:2G غير محدود بعد 25 جيجابايت من استخدام بيانات 4G LTE / 5G عرض الصفقة في تيلو 319 دولارًا صريح 39 دولارًا/ شهر عرض الصفقة في تيلو نتحقق من أكثر من 250 مليون منتج يوميًا للحصول على أفضل الأسعار