📧>>☎️ O hack de e-mail que você estava esperando.
Como encontrar o número de telefone com endereço de e-mail
📧>>☎️ O hack de e-mail que você estava esperando.
Siga o XIT no meio e a UglyCompany no Telegram para mais informações.
Hvocê já tentou redefinir suas senhas em sites diferentes? Eu fiz, e demorei um pouco. Mas aqui está a parte interessante: notei uma coisa. Ao redefinir uma senha, você geralmente insere seu e-mail e tem opções. Você pode receber um e-mail com um link especial, receber um SMS com um código secreto de seis dígitos ou até mesmo receber uma ligação com o código secreto.
Agora, aqui está a reviravolta. Quando você escolhe a opção de SMS ou chamada telefônica, o site geralmente mostra parte do seu número de telefone. Mas não é o número inteiro; apenas alguns dígitos. O suficiente para você reconhecê-lo se tiver vários telefones. Em termos simples, se eu souber seu e-mail, posso iniciar a redefinição de senha de suas contas e ver alguns de seus números de telefone.
Mas espere, aqui está o problema. Nem todos os sites mostram os mesmos dígitos. Alguns mostram os quatro últimos, alguns mostram o primeiro e outros mostram combinações diferentes. Não existe uma maneira fixa de ocultar informações pessoais, como números de telefone. Tudo depende dos desenvolvedores do site, e isso é um problema, não acha?
Entendendo o conceito..
Vamos entender isso de forma prática tendo o Instagram como exemplo. Imagine que você está tentando redefinir sua senha no Instagram. Quando você inicia o processo, eles mostram o primeiro dígito e os últimos quatro dígitos do seu número de telefone.
Mas aqui está o problema: se você fizer login e eles solicitarem autenticação de dois fatores (2FA), eles revelarão apenas os últimos três dígitos. É um pouco confuso, certo? Apenas com seu e-mail, posso descobrir cinco dos dez dígitos do seu número de telefone. Mas se eu souber seu e-mail e senha, verei apenas três. (Se contiver 2-fa)
Surpreendentemente, o Instagram esconde mais o seu número de telefone de alguém que sabe sua senha do que de alguém que conhece apenas seu e-mail. É um pouco misterioso!
Lista de privacidade de números de telefone (sites do Accord.)
Decidi criar uma lista de sites conhecidos onde as pessoas costumam se registrar e observei mais de perto seus processos de redefinição de senha. Meu objetivo era descobrir quais sites exigiam apenas seu e-mail para iniciar o processo, quais suportavam redefinição de senha baseada em celular e quantos dígitos do seu número de telefone foram revelados durante o processo. Aqui está uma parte da lista que encontrei:
eBay (três primeiros e dois últimos dígitos)
Amazon (três primeiros e dois últimos dígitos)
Airbnb (três primeiros e dois últimos dígitos)
LinkedIn (três primeiros e dois últimos dígitos)
Airbnb (três primeiros e dois últimos dígitos)
Walmart (três primeiros e dois últimos dígitos) últimos dois dígitos)
Dropbox (três primeiros e dois últimos dígitos)
Vimeo (três primeiros e dois últimos dígitos)
Pinterest (três primeiros e dois últimos dígitos)
Evernote (três primeiros e dois últimos dígitos)
Quora (três primeiros e dois últimos dígitos)
TripAdvisor (três primeiros e dois últimos dígitos)
GoDaddy (três primeiros e dois últimos dígitos)
Slack (três primeiros e dois últimos dígitos)
Vimeo (três primeiros e dois últimos dígitos)
Zillow (três primeiros e dois últimos dígitos)
Pandora (três primeiros e últimos dois dígitos) dois dígitos)
Etsy (três primeiros e dois últimos dígitos)
Hulu (três primeiros e dois últimos dígitos)
Salesforce (três primeiros e dois últimos dígitos)
SoundCloud (três primeiros e dois últimos dígitos)
Uber (três primeiros e dois últimos dígitos)
Salesforce ( três primeiros e dois últimos dígitos)
PayPal ( primeiros e últimos quatro dígitos )
Microsoft ( primeiros e últimos quatro dígitos )
Apple ( primeiros e últimos quatro dígitos )
Netflix ( primeiros e últimos quatro dígitos )
Adobe ( primeiros e últimos quatro dígitos )
Spotify ( primeiros e últimos quatro dígitos )
Snapchat ( primeiros e últimos quatro dígitos )
Reddit ( primeiros e últimos quatro dígitos )
Yahoo ( primeiros e últimos dois dígitos )
Instagram ( primeiros e últimos dois dígitos )
Dropbox ( primeiros e últimos dois dígitos )
Tumblr ( primeiros e últimos dois dígitos )
Reddit ( primeiros e últimos dois dígitos )
LastPass ( últimos quatro dígitos )
GitHub ( últimos quatro dígitos )
Bitbucket ( últimos quatro dígitos )
Trello ( últimos quatro dígitos )
Evernote ( últimos quatro dígitos )
Google ( dois últimos dígitos )
Facebook ( dois últimos dígitos )
Twitter ( dois últimos dígitos )
Hotmail ( dois últimos dígitos )
Steam ( dois últimos dígitos )
Agora, vamos decompô-lo. Por exemplo, se você tiver contas no eBay e no LastPass, um invasor poderá descobrir sete dos dez dígitos do seu número de telefone, apenas sabendo seu endereço de e-mail. Em termos mais simples, seu endereço de e-mail pode ajudar um invasor a reduzir as possibilidades de adivinhar seu número de telefone de um bilhão de opções para apenas mil.
Tenha em mente que esta é apenas uma combinação possível, mas focaremos neste cenário neste blog.
Entendendo as ameaças..
Mostrei como alguém pode encontrar seu número de telefone começando apenas com seu e-mail. Mas por que isso é uma preocupação? Bem, vamos olhar para isso de diferentes ângulos, como privacidade e segurança. Aqui estão várias maneiras pelas quais esse método pode levar a ameaças potenciais:
- Troca de SIM (redefinir senhas e ignorar 2FA)
- Ataques SS7 (explorando o protocolo da operadora para rastrear locais, espionar chamadas, interceptar textos e iniciar fraudes)
- Vulnerabilidade de correio de voz (roubo de dados, roubo de identidade)
- Rastreamento de localização (permitindo danos físicos, invasão de privacidade)
- Falsificação de identificador de chamadas (manipulação de identificadores de chamadas para engenharia social enganosa, levando a fraude ou falsificação de identidade)
- Ataques de phishing ( usando número de telefone para campanhas de phishing direcionadas)
- Roubo de identidade (pode se passar por você por fraude financeira ou danos à reputação)
- Assédio (mensagens de texto, ligações ou perseguição indesejadas podem causar sofrimento emocional)
- Controle de conta (acesso não autorizado às suas contas online)
- Robocalls (chamadas de spam automatizadas e mensagens que levam a golpes)
- Engenharia Social (pode manipular você através do seu número de telefone, levando a perdas financeiras, violações de dados ou roubo de identidade)
Entendendo praticamente..
O processo começa com a posse de um endereço de e-mail. Reunimos vários dígitos em diferentes sites associados a esse e-mail. Para fazer isso, geramos combinações de possíveis números de telefone usando o código Python fornecido abaixo ou você pode desenvolver um código mais avançado, pois este é apenas um começo básico. Por exemplo, a partir de um número inicial como 703XXXX891, criamos uma lista de números potenciais.
# você pode até usar uma biblioteca aleatória para o mesmo conceito
import itertools
# target mascarado num
número_inicial = "703XXXX891"
combinações = []
# gen com
para combinação em itertools.product( "0123456789" , repetir = 4 ):
novo_número = número_inicial.replace ( "XXXX" , "" .join(combination))
combinations.append(new_number)
# salvando em arquivo
com open ( "number_combinations.txt" , "w" ) como arquivo:
para combinação em combinações:
file.write(combination + "\n" )Em seguida, passamos para a próxima etapa, que envolve testar cada combinação de números em sites sociais conhecidos e combiná-la com o e-mail semelhante ao alvo. Usamos um script Python separado para realizar esse teste, tentando redefinir um número de telefone usando a lista de sites específicos. Durante esse processo, verificamos se algum dos números gerados corresponde exatamente ao e-mail que estamos investigando. Este método nos permite identificar potencialmente o número de telefone associado ao endereço de e-mail por meio de uma combinação de coleta de dados, geração de número e teste do site. Você pode forçar ainda mais essa lista de números em outros sites até obter um e-mail semelhante que corresponda ao seu alvo. Você pode escrever um código personalizado para fazer isso de forma automática e rápida.
Se você aprendeu alguma coisa com este blog, agradeceríamos seu envolvimento - aplauda e considere compartilhar para ajudar a espalhar o conhecimento. Siga também o XIT no meio e a UglyCompany no Telegram. Seu apoio significa muito para nós!
Comentários
Postar um comentário