A Espada de Dois Gumes dos Números de Telefone Descartáveis
Analisando os benefícios e riscos de usar Números de Telefone Descartáveis na segurança online.
― 7 min ler
Na atual era digital, muitos serviços online usam o Serviço de Mensagens Curtas (SMS) para verificar usuários e proteger contas. Uma ferramenta comum nesse processo é o Número de Telefone Descartável (DPN), que é um número de telefone temporário que pode receber mensagens SMS. Esse sistema tem benefícios para a privacidade, mas também abre portas para abusos.
O Que São Números de Telefone Descartáveis?
DPNs são números de telefone que qualquer um pode usar para receber mensagens SMS sem precisar de um número permanente. Esses números geralmente são encontrados em Gateways de SMS Públicos (PSGs), que normalmente permitem que os usuários obtenham esses números de graça. A galera pode se registrar em serviços online usando um DPN em vez do próprio número. Isso ajuda a proteger a privacidade.
Porém, o uso de DPNs pode trazer problemas. Criminosos podem explorá-los para criar contas falsas ou driblar checagens de segurança, como a Autenticação de Dois Fatores (2FA). Essa é uma preocupação crescente para muitas plataformas online.
A Ascensão do SMS e dos DPNs
O SMS ganhou popularidade entre as empresas da internet para enviar alertas e autenticar usuários. Nos últimos anos, muitos serviços adotaram a 2FA baseada em SMS, assumindo que cada número de telefone está ligado a uma única pessoa. Isso não é válido com DPNs, já que eles podem ser compartilhados entre vários usuários, tornando as contas menos seguras.
DPNs em Uso
As pessoas usam DPNs principalmente por dois motivos: para manter a privacidade e para driblar medidas de segurança. Ao usar um DPN, os indivíduos podem criar várias contas em diferentes plataformas sem vincular a elas seu número de telefone real. Esse recurso é atraente para quem quer explorar serviços sem dar informações pessoais.
O Lado Negativo dos DPNs
Apesar dos benefícios, os DPNs são frequentemente mal utilizados. Estudos mostram que muitas contas criadas com DPNs são falsas ou fraudulentas. Como resultado, os serviços online enfrentam desafios com a segurança das contas. O aumento da 2FA baseada em SMS também levou mais pessoas a usarem DPNs para criar contas falsas, complicando as medidas de segurança para as empresas.
O Ecossistema dos DPNs
Pesquisas mostraram que o ecossistema DPN é grande e complexo. Em um estudo, pesquisadores monitoraram milhões de mensagens enviadas para DPNs ao longo do tempo. Eles descobriram que muitos serviços enviam mensagens para esses números, o que pode impactar significativamente a segurança.
Como os DPNs Funcionam
DPNs são frequentemente obtidos a partir de PSGs. Esses gateways oferecem uma lista de números que qualquer um pode usar. Quando um serviço envia um SMS para um DPN, essa mensagem é postada publicamente para qualquer um ver. Usuários podem se registrar em uma plataforma usando um DPN e receber códigos de verificação ou alertas enviados via SMS.
O Processo de Coleta de Dados sobre DPNs
Para entender como os DPNs são usados, pesquisadores coletaram dados de vários PSGs. Eles identificaram gateways populares e coletaram mensagens SMS enviadas para DPNs. Esses dados coletados ofereceram insights sobre o volume de mensagens, os serviços que as enviavam e potenciais abusos.
Os Números por Trás dos DPNs
Os dados mostraram que os DPNs recebem uma quantidade enorme de mensagens semanalmente. Esse aumento nas mensagens indica um padrão de uso forte, levantando bandeiras vermelhas sobre o potencial de abuso. A maioria das mensagens geralmente contém Senhas de Uso Único (OTPs) que são críticas nos processos de registro ou verificação.
Analisando as Mensagens SMS
Os pesquisadores também analisaram o conteúdo dessas mensagens SMS. Eles descobriram que quase 80% continham algum tipo de código de verificação. Essa alta porcentagem indica que os DPNs são usados principalmente para acessar serviços que exigem verificação por telefone.
Identificando Serviços que Usam DPNs
A maioria das mensagens enviadas para DPNs vem de serviços conhecidos em diferentes indústrias. Os pesquisadores categorizaram essas mensagens para entender quais serviços estavam enviando mais mensagens. Empresas de finanças, redes sociais e saúde apareceram bastante na lista.
Preocupações com o Uso de DPNs
À medida que o ecossistema DPN cresce, as preocupações sobre seus efeitos na segurança online aumentam. Muitos usuários que se registram em serviços online usando DPNs fazem isso com a intenção de contornar medidas de segurança rígidas. Isso leva a riscos maiores tanto para os provedores de serviços quanto para os usuários, com mais oportunidades de fraude e roubo de identidade.
A Ética da Coleta de Dados de DPN
Coletar dados sobre o uso de DPNs levanta questões éticas. As informações coletadas incluem dados sensíveis, como números de telefone e conteúdo das mensagens. Os pesquisadores tomaram precauções para garantir que não expuseram nenhuma informação pessoal durante seu estudo, focando em melhorar as medidas de segurança sem comprometer a privacidade dos usuários.
Tendências de Línguas e Países
DPNs são usados em todo o mundo, e as mensagens enviadas para eles vêm em várias línguas. O inglês é a língua mais comum entre as mensagens DPN, mas muitas outras estão representadas. Essa diversidade aponta para uma demanda global por soluções de privacidade.
Como os Serviços São Afetados
DPNs são frequentemente usados para criar contas falsas em serviços online. Por exemplo, os usuários podem aproveitar os DPNs para tirar proveito de testes grátis ou promoções de várias empresas. Isso pode levar a perdas substanciais para os provedores, que lutam contra usuários que exploram esses números temporários.
Descobrindo Padrões de Abuso
Pesquisas mostram que muitas contas associadas a DPNs são mal utilizadas para atividades como fraude e spam. Os DPNs permitem um registro rápido em várias plataformas, facilitando para os maus elementos se envolverem em comportamentos prejudiciais sem serem detectados.
O Papel da Administração Pública
Alguns serviços ligados à administração pública também enviam mensagens para DPNs. Por exemplo, agências governamentais podem enviar notificações importantes via SMS para números de telefone registrados. A presença de DPNs nesse espaço levanta sérias preocupações de privacidade, pois podem comprometer informações sensíveis.
Futuro dos DPNs e Segurança Online
A crescente tendência dos DPNs tem implicações para a segurança online. As empresas precisam adaptar suas estratégias para conter o abuso dos DPNs, garantindo que usuários genuínos possam ainda manter a privacidade. Esse equilíbrio é crucial à medida que o interesse em proteger as informações pessoais continua crescendo.
Conclusão
O ecossistema DPN é tanto útil quanto problemático. Enquanto ajuda indivíduos a manter a privacidade, também impõe desafios significativos para a segurança online. À medida que o cenário evolui, é vital que os provedores de serviços se adaptem e criem medidas robustas para se proteger contra o uso indevido dos DPNs, enquanto atendem às necessidades legítimas dos usuários.
Título: Your Code is 0000: An Analysis of the Disposable Phone Numbers Ecosystem
Resumo: Short Message Service (SMS) is a popular channel for online service providers to verify accounts and authenticate users registered to a particular service. Specialized applications, called Public SMS Gateways (PSGs), offer free Disposable Phone Numbers (DPNs) that can be used to receive SMS messages. DPNs allow users to protect their privacy when creating online accounts. However, they can also be abused for fraudulent activities and to bypass security mechanisms like Two-Factor Authentication (2FA). In this paper, we perform a large-scale and longitudinal study of the DPN ecosystem by monitoring 17,141 unique DPNs in 29 PSGs over the course of 12 months. Using a dataset of over 70M messages, we provide an overview of the ecosystem and study the different services that offer DPNs and their relationships. Next, we build a framework that (i) identifies and classifies the purpose of an SMS; and (ii) accurately attributes every message to more than 200 popular Internet services that require SMS for creating registered accounts. Our results indicate that the DPN ecosystem is globally used to support fraudulent account creation and access, and that this issue is ubiquitous and affects all major Internet platforms and specialized online services.
Autores: José Miguel Moreno, Srdjan Matic, Narseo Vallina-Rodriguez, Juan Tapiador
Última atualização: 2023-06-26 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2306.14497
Fonte PDF: https://arxiv.org/pdf/2306.14497
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.