E-postadan telefon numarasına: yeni bir OSINT yaklaşımı (2019)

 (martinvigo.com)
1 puan yazan GN⁺ 2023-11-18 | 1 yorum | WhatsApp'ta paylaş

Özet: e-postadan telefon numarasına, yeni bir OSINT yaklaşımı

  • Son dönemde parola sıfırlama seçeneklerinin zayıflıkları ve saldırı vektörleri üzerine araştırmalar yürütüldü

  • BSides Las Vegas'ta "Ransombile" adlı araç tanıtıldı; SMS üzerinden parola sıfırlamayı otomatikleştiriyor ve fiziksel erişim sağlanabilen kilitli mobil cihazlara yönelik hedefli saldırıları kolaylaştırıyor

  • DEF CON ve CCC'de, sesli posta sistemlerindeki zafiyetler üzerinden telefonla parola sıfırlama sorunları gündeme getirildi

  • Parola sıfırlama sırasında bazı telefon numarası rakamlarının arayüzde kısmen gösterildiği fark edildi

  • Web siteleri arasında kişisel tanımlayıcı bilgilerin (PII) nasıl maskeleneceğine dair bir standart yok

  • Örneğin Paypal'da, yalnızca e-posta adresini bilerek telefon numarasının 10 hanesinden 5'ini öğrenmek mümkün

Derinlemesine inceleme

  • Yalnızca e-posta ile parola sıfırlama başlatılabilen popüler web sitelerinin bir listesi hazırlanıp incelendi
  • Örneğin bir kişinin eBay ve LastPass hesabı varsa, saldırgan yalnızca e-posta adresini bilerek telefon numarasının 7 hanesini öğrenebilir

Kalan rakamları bulmak

  • ABD telefon numaraları alan kodu, santral kodu ve abone numarasından oluşur
  • North American Numbering Plan Administrator (NANPA) üzerinden alan kodları ve bunlara karşılık gelen santrallerin güncel listeleri görülebilir
  • Örneğin San Francisco'da, 415 alan kodunda tahsis edilmemiş 216 santral numarası sayesinde olası telefon numaraları 784'e düşürülebilir

National Pooling Administration

  • Telefon numarası tahsisini yöneten National Pooling Administration üzerinden, abone numarasına göre geçersiz telefon numaraları elenebilir
  • Örneğin Sausalito'daki 415-272-XXXX numaraları için 415-272-[0-8]XXX aralığı elenip yalnızca 9 ile başlayan numaralara odaklanılabilir

Hâlâ çok sayıda olası numara var

  • Hedefin e-posta adresiyle telefon numarasının 7 hanesi öğrenildikten sonra, NANPA ve National Pooling Administration kullanılarak olası telefon numaraları daha da daraltılabilir
  • Kalan numaraları tek tek elle kontrol etmek yerine, arama motorları, çevrimiçi servisler ve telefon sistemi çevrimiçi hizmetleri üzerinden e-posta adresiyle bağlantılı telefon numarası bulunabilir

Aynı saldırı vektörünü tersine kullanmak

  • Amazon ve Twitter gibi servislerde telefon numarasıyla parola sıfırlama denenerek e-posta adresinin bazı karakterleri geri elde edilebilir
  • E-posta adresi kullanılarak çeşitli sitelerden telefon numarası rakamları toplanabilir; ardından NANPA ve National Pooling Administration'ın herkese açık verileriyle olası telefon numaraları listesi daraltılıp, kalan aday numaralar denenerek hedefin e-posta adresiyle eşleşen karakterler ilişkilendirilebilir

Otomasyon

  • "email2phonenumber" adlı araç, kısmi telefon numarası verildiğinde geçerli telefon numaraları listesini üretebilir; ayrıca Amazon ve Twitter'ın parola sıfırlama işlevleri kullanılarak kalan telefon numaraları brute force ile denenip eşleşen e-posta bulunabilir

Diğer ülkeler

  • ABD dışındaki ülkelerin telefon numarası sistemleri kullanılarak bir telefon numarasının tüm rakamları toplanabilir
  • Örneğin İspanya'da mobil telefon numaraları 9 hanelidir; eBay veya LastPass ise telefon numarası uzunluğuna göre maskelemeyi ayarlamadığından numaranın yarısından fazlası öğrenilebilir

Sonuç

  • PII maskeleme için standartlaşmış bir yöntem olmadığından, çevrimiçi servislerde e-posta adresleri ve telefon numaralarına ait kısmi bilgiler sızabiliyor
  • Özellikle telefon numaralarının kısa olduğu ülkelerde, birçok servis maskelemeyi numara uzunluğuna göre ayarlamadığı için tüm telefon numarası ortaya çıkabiliyor
  • Kullanıcıların "kişisel e-posta" veya "iş telefonu" gibi etiketler tanımlamasına izin verilip, parola sıfırlama sırasında PII yerine bu etiketlerin gösterilmesi öneriliyor

GN⁺ görüşü

Bu yazının en önemli noktası, yalnızca e-posta adresiyle telefon numarasını ortaya çıkarmaya yarayan yeni bir OSINT yaklaşımının keşfedilmiş olmasıdır. Bu yöntem, gizlilik ve güvenlik açısından ciddi etkiler yaratabilir ve bu tür zafiyetleri istismar eden saldırganlara karşı farkındalığı artırmaya yardımcı olabilir. Yazı, yazılım mühendisliği ve güvenliğe ilgi duyanlar için ilgi çekici bir konu sunarken, kişisel verilerin korunmasının önemini de vurguluyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-11-18
Hacker News görüşleri
  • Bir kullanıcı, araba parçalarını yarı dolandırıcı sayılabilecek bir satıcıdan satın aldığını; satıcının haftalar boyunca parayı almasına rağmen siparişin tamamını göndermediğini paylaşıyor. Çeşitli platformlar üzerinden iletişim kurarken satıcının kimliğine dair bazı bilgiler elde etmiş ve bununla satıcının işyerini arayıp parçaların gönderilmesini istemiş; satıcı da ertesi gün tüm ürünleri göndermiş.
  • Başka bir kullanıcı, CNAM veritabanından (yalnızca ABD) söz ediyor; bunun operatörlerin harfli arayan kimliği sağlaması için kullanıldığını, ancak çoğu operatör bu bilgiyi göstermese de veritabanına erişilebildiğini açıklıyor. CNAM veritabanını sorgulamak ücretsiz değil, ancak görece düşük bir maliyetle yüzlerce numarayı sorgulamanın bir yolunun bulunabileceğini söylüyor.
  • Bir kullanıcı, PayPal'ın yalnızca e-posta adresi biliniyorsa alan kodu da dahil beş rakam gösterdiğine, saldırgan hedefin parolasını biliyorsa ise yalnızca üç rakam gösterdiğine dikkat çekiyor ve PayPal'ı bunu tasarım gereği bir sorun olarak görüp önlem almamakla eleştiriyor. Ayrıca numarayı LinkedIn'den elde etmenin ya da başka bir yerde numarayla eşleştirmenin yollarını merak ediyor.
  • Başka bir kullanıcı, sanal numara kullanmayı düşünmeyi öneriyor; ikinci SIM kart seçeneğinin ABD'de hâlâ nadir olduğunu belirtiyor. Ayrıca birçok sitenin telefon numarasını sorgulayıp VOIP sağlayıcılarını engellediğini, bunun da bazen hesabın yeniden kullanılamamasına yol açtığını ekliyor.
  • İsveçli bir kullanıcı, kendi e-posta adresi ve telefon numarasının birçok rehberde herkese açık şekilde listelendiğini, İsveç'te adresleri ve telefon numaralarını aranabilir kılmanın standart bir uygulama olduğunu anlatıyor. Bu kadar açık kişisel bilginin insanların bu verileri gizli görmemesine yol açması gibi olumlu bir yanı olduğunu, birinin numarasını bilmenin de o kişiyi taklit etmeye yardımcı olmadığını belirtiyor.
  • Bir kullanıcı, gizliliğini korumak için adını biraz değiştirerek anmaya yönelik mizahi bir yöntem kullanıyor.
  • Bir risk sermayedarı, bunun e-postaları görmezden gelen kişiler için faydalı bir teknik olduğunu söylüyor.
  • Başka bir kullanıcı, her servis için farklı e-posta adresleri ve Google Voice numaraları kullanmanın zahmetinin sonunda buna değdiğini düşünüyor.
  • Bir güvenlik araştırmacısı, e-postadan telefon numarasını otomatik üreten bir araç gibi araştırma çıktılarının yayımlanmasının haklı gösterilip gösterilemeyeceğini sorguluyor. Kötü kullanım senaryolarının iyi gerekçelerden çok daha fazla olacağını savunuyor; araştırmacının bunu "araştırma" adına yaptığı ve gri bölgede olduğu için bir tür dokunulmazlık mı kazandığını ya da açığı ifşa ettiği şirketle konuşup sorunu çözdüğünü düşünüp düşünmediğini merak ediyor.
  • Son kullanıcı, GitHub'ın Python proje trend sayfasını sık sık kontrol ettiğini ve bu deponun neden trend olduğunu anlayamadığını söylüyor. Birçok servis açığı çoktan kapatmış olsa da, yalnızca Hacker News'te paylaşılmış olmasının Python trend sayfasına çıkmaya yetebilmesini ilginç buluyor.