web-dev-qa-db-fra.com

"C'était mon numéro de téléphone"

J'ai ajouté une nouvelle ligne téléphonique et quelqu'un a appelé en prétendant être l'ancien propriétaire du numéro de téléphone. Il a demandé que je transmette des informations par SMS (il voulait que je transmette des informations d'authentification à 2 facteurs qui seraient envoyées à mon nouveau numéro de téléphone par SMS). Naturellement, j'ai refusé la demande. Je ne pense pas qu'ils soient trop satisfaits du refus.

Y a-t-il des risques que je devrais être au courant ou des précautions à prendre, étant donné qu'il y a des "affaires drôles" en cours?

CLARIFICATION: l'appelant ne pas connaît mon nom ou l'un de mes comptes. Si l'appelant est un mauvais acteur, il compromet le compte de quelqu'un d'autre parce que le numéro de téléphone qu'il a appelé m'a été récemment délivré et que je ne le donne à personne, car j'utilise un service de transfert d'appel. Ce numéro de téléphone n'a été communiqué à personne

48
gatorback

C'est une tentative d'escroquerie connue. L'appelant a probablement compromis l'un de vos comptes et s'est fait arrêter par le jeton 2FA envoyé sur votre téléphone. Si vous leur envoyez le jeton, votre compte est entièrement compromis. Ou, comme Nic l'a très bien souligné, peut-être le récit de quelqu'un d'autre.

Que faites vous?

Premièrement: ne leur envoyez aucun code ou jeton. Cela les empêchera de compromettre votre compte.

Deuxièmement: si votre fournisseur propose des alternatives, remplacez SMS par 2FA sur chaque compte que vous avez avec une solution plus sécurisée, comme un jeton TOTP matériel ou logiciel. SMS = est trop peu sûr pour cela. 124

Troisièmement: changez vos mots de passe. Si vous ne disposez pas d'un gestionnaire de mots de passe tenant des comptes différents pour chaque service, installez-en et configurez-en un maintenant. Cela prendra du temps, mais prend beaucoup moins de temps que pour se remettre de tout mal qu'un attaquant peut faire avec vos services en ligne. Pendant que vous modifiez des mots de passe et les stockez sur votre gestionnaire de mots de passe, basculez le 2FA de SMS vers TOTP pour avoir un 2FA plus sûr.

Ne faites pas confiance à votre cerveau pour choisir des mots de passe. Ils sont devinables et un ordinateur peut essayer des milliards de combinaisons par seconde. Tout gestionnaire de mots de passe, aussi primitif soit-il, est meilleur que nous pour créer un mot de passe.

64
ThoriumBR

Ceci est probablement une tentative pour accéder au compte qui a envoyé le code c'est une méthode courante de contourner 2FA, cela fonctionne une fois qu'un message est envoyé avec le code, un attaquant vous enverra un SMS et vous dira que c'est là l'ancien numéro de téléphone et ils besoin du code ce pourrait être quelqu'un qui a réellement besoin du code mais il est plus probable qu'il s'agisse d'un attaquant essayant d'accéder à votre compte

2
Samatha