Prólogo
La forma en que se revela el número es una combinación de una capacidad técnica del propio cliente y la aplicación de la ingeniería social (SI). En general, esta función ya se describió anteriormente en Habré, ya en 2016, una
referencia .
¡El autor ya había captado el "mensaje" y quería decirles a los usuarios que bostezaban que no era
seguro! , pero su pequeño artículo criticó débilmente. Sin embargo, fui más allá y decidí mostrar cómo esta "función" actúa en manos del "hacker".
El método se basa en la ingeniería social, por lo que debe comunicarse con el usuario cuyo número queremos averiguar. El punto es que el usuario debe poner en marcha la manipulación habitual inherente a los mensajeros, pero al mismo tiempo, no debe sospechar: ¿por qué debería hacer esta manipulación?
¿Qué tiene que hacer la víctima para revelar su número? Considera un ejemplo.
Hay usuario
A (
atacante ) y usuario
B (
víctima ).
Y toca a
B en un diálogo personal y envía un mensaje. El usuario
B es responsable. El diálogo comienza. El usuario
A es amigo del usuario
B y lo agrega a sus contactos. El usuario
B está contento y también agrega el usuario
A a sus contactos.
Después de eso, el usuario
A (el atacante) puede ver el número de usuario
B (la víctima), pero la víctima (
B ) no ve el número del atacante (
A ).
¿Cómo sucedió esto?
En primer lugar, tampoco es tan simple. Es deseable que la víctima se encuentre en el escritorio messenger. Cuando hace clic en el icono del usuario, se abre la siguiente ventana:
Debajo del nombre de usuario está visible la inscripción "AGREGAR A LOS CONTACTOS".
Al hacer clic en él, se abrirá una ventana:
Todo es simple, solo necesita confirmar la autorización y presionar "
HECHO ". Pero es después de esto que nuestro número será visible para este usuario. La falla es la opción predeterminada "
Compartir mi número de teléfono " activada. Sí, se activa de manera predeterminada, por lo que los usuarios que agregan a alguien a sus contactos ignoran esta función.
A través del cliente de escritorio, podremos averiguar el número de manera bastante simple. La víctima simplemente no notará esta opción y emitirá un número. ¿Pero qué hay de las aplicaciones telefónicas? Aquí la situación es más difícil.
En primer lugar, la víctima no encontrará de inmediato la función de autorización del usuario. En segundo lugar, no será claro para la víctima: por qué agregar un usuario a los contactos si el diálogo no tiene problemas. En tercer lugar, la opción se llama "compartir mi contacto", lo que ya es sospechoso. Y si hace clic en esta opción, aparecerá una advertencia donde se escribirá el número de la víctima y el texto para que el usuario lo vea. La víctima no hará esto. Por lo tanto, este método se centra más en la aplicación de escritorio.
Por lo tanto, antes de comenzar un ataque, ¡debes asegurarte de que la víctima esté usando una versión no móvil! Hay muchas formas Por ejemplo, observe la velocidad de escritura, el estilo de texto, el uso de pegatinas y emoticones, etc.
Si estamos seguros de que la víctima está sentada en la computadora, entonces podemos comenzar.
¿Cómo hacer que la víctima te agregue a tus contactos?
Aquí debe comprender por qué necesita el número de víctima. Se entiende que conoce de antemano cualquier información sobre la víctima: ocupación, intereses, etc. Basado en el diálogo, usted mismo debe formular la razón por la cual la víctima debería agregarlo.
De casi todas las prácticas, utilicé el método con dos cuentas: una es la principal, la segunda es falsa. La conclusión es iniciar un diálogo con la víctima desde la primera cuenta y luego cambiarla a la segunda. La segunda cuenta no debe ser específicamente suya, sino, por ejemplo, su
amigo / hermano / colega . En general, es necesario crear una ilusión para la víctima, en la que comienza a escribir en la segunda cuenta, pero no puede alcanzarla (debemos ignorarla). Esto pondrá a la víctima en un estado de estupor, por lo que comenzará a descubrir la razón de nuestra primera cuenta, y deberíamos actuar como un "
puente de comunicación ", como si dijera a la víctima que agregue una segunda cuenta a los contactos y, por lo tanto, emita su número.
¿Es dificil? Entonces considere en la práctica.
Daré un ejemplo cuando desanonice a los estafadores de red oscura.
Deanonymization de un estafador
Y así, hay un cierto usuario que se dedica a actividades fraudulentas relacionadas con las finanzas: cobrar dinero robado, etc.
Creé 2 cuentas (
A ) y (
B ).
Desde la primera cuenta (
A ) le escribí a la víctima.
La víctima entró en diálogo. Yo respondo:
Pego el enlace a mi segunda cuenta (
B ).
La víctima comienza a escribir en la cuenta (
B ):
No leo estos mensajes a propósito.
Desde la cuenta (
B ) escribo en mi propia cuenta (
A ) el texto y se lo envío a la víctima:
Aquí no establezco una tarea específica de la víctima, para que me agregue a los contactos. Es como si yo mismo no entendiera cuál es el problema, por lo tanto, ofrezco diferentes opciones.
Pero la víctima, perdida, envía nuevas cartas a la cuenta (
B ), que también ignoro.
A continuación, juego un diálogo entre mis cuentas (
A ) y (
B ), que también envío a la víctima desde la cuenta principal:
Este incidente distrae la atención de la víctima, por lo que está tratando de entender qué podría estar mal. Ahora, menos que nada, piensa en su seguridad, porque no se le envían enlaces ni archivos. La víctima simplemente no puede establecer el diálogo.
¡De la cuenta (
B ) todavía leo los mensajes, pero no respondí a la víctima!
Luego viene el diálogo final:
Aquí, la víctima finalmente comprende que el asunto está en los contactos y luego agrega la cuenta (
B ), ignorando la opción "compartir mi número de teléfono".
Después de eso, el número de víctima se mostró en mi cuenta (
B ).
Te lo diré directamente. Probé muchos contactos y 7 de cada 10 me agregaron a los contactos, revelando mi número. Básicamente, revelé estafadores, traficantes de drogas y otros "dalqube" irrazonables. Pero con los usuarios comunes, puede encontrar un lenguaje común, que incluye la astucia y la confianza. Parecería: "¿qué tiene de bueno? ¡Es tan fácil! " ¿Pero sabías sobre esto? ... No lo creo. Si solo Telegram desmarca esta casilla de forma predeterminada cuando la agrega a sus contactos, entonces todo sería diferente. Pero todo esto no es importante, porque todo es muy bueno;)