Von E-Mail bis Telefonnummer: ein neuer OSINT-Ansatz (2019)

 (martinvigo.com)
1 Punkte von GN⁺ 2023-11-18 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung: Von E-Mail zur Telefonnummer, ein neuer OSINT-Ansatz

  • Jüngste Forschung zu Schwachstellen und Angriffsvektoren bei Optionen zum Zurücksetzen von Passwörtern

  • Auf der BSides Las Vegas wurde ein Tool namens "Ransombile" vorgestellt, das das Zurücksetzen von Passwörtern per SMS automatisiert und gezielte Angriffe auf gesperrte mobile Geräte mit physischem Zugriff erleichtert

  • Auf der DEF CON und beim CCC wurde das Problem des Zurücksetzens von Passwörtern per Telefon durch Schwachstellen in Voicemail-Systemen thematisiert

  • Es wurde festgestellt, dass bei der Passwortzurücksetzung einige Ziffern von Telefonnummern teilweise in der UI angezeigt werden

  • Es gibt keinen Standard dafür, wie Websites personenbezogene Informationen (PII) maskieren

  • Bei Paypal lassen sich zum Beispiel allein mit der E-Mail-Adresse 5 von 10 Ziffern der Telefonnummer herausfinden

Detaillierte Untersuchung

  • Eine Liste populärer Websites, auf denen sich allein mit einer E-Mail-Adresse eine Passwortzurücksetzung starten lässt, wurde erstellt und geprüft
  • Hat jemand zum Beispiel Konten bei eBay und LastPass, kann ein Angreifer allein mit der E-Mail-Adresse 7 Ziffern der Telefonnummer herausfinden

Die restlichen Ziffern finden

  • US-Telefonnummern bestehen aus Vorwahl, Vermittlungsstellenkennzahl und Teilnehmernummer
  • Über den North American Numbering Plan Administrator (NANPA) lässt sich eine aktuelle Liste der Vorwahlen und zugehörigen Vermittlungsstellen abrufen
  • Im Fall von San Francisco kann man die Zahl möglicher Telefonnummern zum Beispiel mithilfe der 216 nicht vergebenen Vermittlungsstellenkennzahlen in der Vorwahl 415 auf 784 reduzieren

National Pooling Administration

  • Über die National Pooling Administration, die die Zuteilung von Telefonnummern verwaltet, lassen sich auf Basis der Teilnehmernummer ungültige Telefonnummern ausschließen
  • Bei Sausalito-Nummern im Bereich 415-272-XXXX kann man zum Beispiel 415-272-[0-8]XXX ausschließen und sich nur auf Nummern konzentrieren, die mit 9 beginnen

Immer noch viele mögliche Nummern

  • Wenn man mithilfe einer E-Mail-Adresse 7 Ziffern der Telefonnummer eines Ziels herausgefunden hat, kann man mit NANPA und der National Pooling Administration die möglichen Telefonnummern weiter eingrenzen
  • Statt die verbleibenden Telefonnummern manuell zu prüfen, kann man über Suchmaschinen, Online-Dienste und telefonbezogene Online-Services nach der mit der E-Mail-Adresse verknüpften Telefonnummer suchen

Denselben Angriffsvektor umgekehrt nutzen

  • Über Dienste wie Amazon und Twitter kann man eine Passwortzurücksetzung mit einer Telefonnummer versuchen und dabei einige Zeichen der E-Mail-Adresse zurückerhalten
  • Man kann über mehrere Websites mit einer E-Mail-Adresse Telefonnummernfragmente sammeln, mit öffentlichen Daten von NANPA und National Pooling Administration die Liste möglicher Telefonnummern verkleinern und dann die verbleibenden Telefonnummern durchprobieren, um die zurückgegebenen E-Mail-Zeichen mit der E-Mail-Adresse des Ziels zu korrelieren

Automatisierung

  • Mit einem Tool namens "email2phonenumber" kann man eine partielle Telefonnummer eingeben und eine Liste gültiger Telefonnummern erhalten; anschließend kann man die Passwortzurücksetzungsfunktionen von Amazon und Twitter verwenden, um die verbleibenden Telefonnummern per Brute Force zu testen und passende E-Mail-Adressen zu finden

Andere Länder

  • Auch die Telefonnummernsysteme anderer Länder außerhalb der USA können genutzt werden, um alle Ziffern einer Telefonnummer zu sammeln
  • In Spanien sind Mobiltelefonnummern zum Beispiel 9-stellig, und eBay oder LastPass passen ihre Maskierung nicht an diese Länge an, sodass sich mehr als die Hälfte der Telefonnummer herausfinden lässt

Fazit

  • Da es keine standardisierte Methode zur Maskierung von PII gibt, können Online-Dienste Teilinformationen über E-Mail-Adressen und Telefonnummern preisgeben
  • Besonders in Ländern mit kurzen Telefonnummern passen viele Dienste ihre Maskierung nicht an die Länge der Telefonnummer an, sodass sich die komplette Telefonnummer herausfinden lässt
  • Vorgeschlagen wird, dass Nutzer Labels wie "private E-Mail" oder "geschäftliches Telefon" festlegen können, damit bei der Passwortzurücksetzung statt PII nur diese Labels angezeigt werden

Meinung von GN⁺

Das Wichtigste an diesem Artikel ist die Entdeckung eines neuen OSINT-Ansatzes, mit dem sich allein aus einer E-Mail-Adresse eine Telefonnummer ermitteln lässt. Diese Methode kann erhebliche Auswirkungen auf Datenschutz und Sicherheit haben und dazu beitragen, das Bewusstsein für Angreifer zu schärfen, die solche Schwachstellen ausnutzen. Der Artikel bietet ein interessantes Thema für Menschen, die sich für Software Engineering und Sicherheit interessieren, und unterstreicht die Bedeutung des Schutzes persönlicher Daten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-11-18
Hacker-News-Kommentare
  • Ein Nutzer berichtete, dass er Autoteile von einem halbwegs betrügerischen Verkäufer gekauft hatte, der zwar über mehrere Wochen das Geld annahm, aber nicht die gesamte Bestellung lieferte. Durch die Kommunikation über mehrere Plattformen gelangte er an einige Identitätsinformationen des Verkäufers, rief daraufhin an dessen Arbeitsplatz an und bat darum, die Teile zu versenden; am nächsten Tag verschickte der Verkäufer dann alle Waren.
  • Ein anderer Nutzer erwähnte die CNAM-Datenbank (nur in den USA) und erklärte, dass sie von Mobilfunkanbietern zur Bereitstellung alphabetischer Caller-ID-Namen verwendet werde, aber trotz ihrer Zugänglichkeit von den meisten Anbietern nicht angezeigt werde. Eine Abfrage der CNAM-Datenbank sei nicht kostenlos, aber man könne vermutlich eine Möglichkeit finden, Hunderte von Nummern zu relativ geringen Kosten nachzuschlagen.
  • Ein Nutzer wies darauf hin, dass PayPal bereits dann fünf Ziffern einschließlich Vorwahl anzeigt, wenn man nur die E-Mail-Adresse kennt, und Angreifern sogar nur drei Ziffern zeigt, wenn sie das Passwort des Ziels kennen. Er kritisierte, dass PayPal dies als Designproblem betrachte und nichts dagegen unternehme. Außerdem fragte er sich, wie man über LinkedIn an Nummern gelangt oder sie auf anderem Weg mit Nummern verknüpfen kann.
  • Ein anderer Nutzer riet dazu, die Nutzung virtueller Nummern in Betracht zu ziehen, und erwähnte, dass eine zweite SIM-Karte in den USA noch immer eher selten sei. Außerdem würden viele Websites Telefonnummern nachschlagen, um VOIP-Anbieter zu blockieren, was in manchen Fällen dazu führe, dass ein Konto nicht wiederverwendet werden könne.
  • Ein Nutzer aus Schweden erklärte, dass seine E-Mail-Adresse und Telefonnummer in vielen Verzeichnissen öffentlich gelistet seien und es in Schweden gängige Praxis sei, Adressen und Telefonnummern durchsuchbar zu machen. Er erwähnte auch einen positiven Aspekt dieser öffentlichen personenbezogenen Daten: Menschen betrachteten diese Informationen dadurch nicht als geheim, und selbst wenn man die Nummer einer Person kenne, helfe das nicht dabei, sich als diese Person auszugeben.
  • Ein Nutzer verwendete auf humorvolle Weise leicht verfremdete Namensnennungen zum Schutz der Privatsphäre.
  • Ein Venture-Capital-Investor bemerkte, dass dies eine nützliche Technik für Menschen sei, die E-Mails ignorieren.
  • Ein anderer Nutzer bewertete den Aufwand, für jeden Dienst unterschiedliche E-Mail-Adressen und Google-Voice-Nummern zu verwenden, letztlich als lohnenswert.
  • Ein Sicherheitsforscher stellte infrage, ob es gerechtfertigt sei, Forschungsergebnisse wie ein Tool zur automatischen Erzeugung von Telefonnummern aus E-Mail-Adressen zu veröffentlichen. Er argumentierte, dass es weit mehr schlechte als gute Anwendungsfälle gebe, und fragte sich, ob Forschende davon freigestellt seien, weil sie es zu „Forschungszwecken“ täten und sich in einer Grauzone bewegten, oder ob sie mit den betroffenen Unternehmen gesprochen und das Problem aus ihrer Sicht gelöst hätten.
  • Der letzte Nutzer erwähnte, dass er häufig die Trending-Seite für Python-Projekte auf GitHub prüfe, und wunderte sich, warum dieses Repository im Trend liege. Er fand es interessant, dass ein Projekt allein dadurch auf der Python-Trending-Seite landen könne, dass es auf Hacker News gepostet wurde, obwohl viele Dienste die Schwachstellen bereits behoben hätten.