BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Móvil
💭

Spoofing de número Simyo permite acceder al buzón de voz y hacer gestiones

1
Tinkinaz304
8

Hace meses me di cuenta que al llamar al 644100121 desde mi cuenta VoIP SIPDiscount con mi número Simyo verificado, el IVR del 644100121 me reconocía como cliente Simyo y me permitía hacer gestiones, cambiar bonos, etc.

Aparte de eso, me dio por llamarme a mi mismo a mi número Simyo desde mi cuenta SIPDiscount (mi número Simyo tenía el buzón de voz activo) y parece ser que el buzón de voz al recibir una llamada desde mi propio número, directamente se accedía automáticamente.

Ejemplo: Supongamos que tengo el número ficticio 999123123, pues al llamar desde el 999123123 desde SIPDiscount al 999123123 (teniendo buzón activo), directamente se accedía al buzón de voz y se podían escuchar todos los mensajes. Esto podría permitir a un atacante de spoofing acceder al buzón de voz y escuchar mensajes.

Por último Simyo cuenta con otro fallo que ya tenía en el pasado y que ya habían arreglado, la posibilidad de visualizar en el área de clientes números ocultos. Ahora nuevamente, cuando te llama un número oculto, Simyo te lo muestra en el área de clientes.

Por tanto Simyo dispone de 3 importantes fallos los cuales los 2 primeros ya han sido reportados hace meses y no han hecho nada por solucionarlos.

  1. A través del 644100121 con una llamada de spoofing otra persona puede consultar información de tu línea Simyo. Simyo no debe permitir que el 644100121 identifique tu número de teléfono Simyo, sólo si la llamada se hace al 121.
  2. A través de una llamada de spoofing realizada así mismo a un número Simyo con buzón de voz activo, se puede acceder al buzón de voz. Esto es útil para que un estafador pueda acceder a tu buzón de voz y escuchar tus mensajes.
  3. Simyo descifra llamadas con número oculto en su área de clientes.

Indicar que lo del buzón de voz ocurre en varios operadores OMV con red Orange, creo que el problema en sí es del buzón de Orange y la programación que tiene ¿qué sentido tiene que se pueda acceder al buzón de voz cuando la llamada se la hace uno a su propio número?

Fallo de MásMóvil que permitió robar cuentas de WhatsApp

No hace mucho al grupo MásMóvil se le notificó un fallo bastante gordo el cual mediante spoofing un delincuente podía acceder al buzón de voz de cualquier número Yoigo falseando el número de teléfono del cliente en cuestión, el grupo MásMóvil lo solucionó, la técnica fue utilizada para el robo de multitud de cuentas de WhatsApp ya que los delincuentes utilizaban los mensajes de voz grabados por WhatsApp con el código en el buzón de voz para luego acceder y escuchar el código y así robar la cuenta de WhatsApp.

Una vez solucionado el problema en Yoigo y avisado a WhatsApp, ahora Yoigo ya tomó medidas y no se puede acceder si previamente no se establece comunicación inicial desde el propio número modificando la clave por defecto.

Por otro lado WhatsApp estableció otra medida de seguridad muy interesante, ahora cuando recibes un código por llamada telefónica, debes pulsar una tecla (al azar que ellos te dicen) para que te dicten el código, cosa que un buzón no podría hacer.

Precauciones a tomar en cuenta

Si eres cliente de Simyo, desactiva tu buzón de voz y envía una queja a Simyo para que deshabiliten el 644100121 temporalmente hasta que solucionen el problema de no identificar a los clientes de Simyo a través del número largo, pues hay brechas de seguridad en la IVR, al menos que para cualquier gestión la IVR te solicite introducir el número de DNI.

Y por último, que Simyo solucione el problema con el buzón de voz así como lo de las llamadas con número oculto, espero que estos mensajes en este foro con gran visibilidad sirvan para que la operadora tome cartas en el asunto y procedan a solucionarlo.

Charlystar

Por desgracia esto del spoofing parece no importarle a ninguna empresa. Es igual o incluso más grave que el SIM swapping (ya que en ese caso si detectas que te quedas sin cobertura a tiempo puedes tomar medidas).

BBVA también autentica automáticamente al cliente para hacer gestiones al llamar a la línea BBVA desde el número de teléfono asociado a tu cuenta. Desconozco si es vulnerable a spoofing ya que no lo he comprobado, pero imagino que sí ya que no se de qué forma se puede comprobar por parte de la empresa si es spoofing.

Tinkinaz304
1

Gracias por responder. Pues menuda mierda, como está todo. Pues el grupoMásMóvil tomó medidas rápidamente, afectaba al buzón de voz de toda su red y lo solucionaron de raíz. Y WhatsApp también tomó medidas al no grabar el código en ningún buzón a no ser que sea una persona real la que atienda la llamada (previamente pulsando la tecla que ellos digan). Pero sé que hay más empresas de mensajerías y otros sitios que siguen verificando con códigos directamente, por ejemplo quizás puedan ser cuentas de e-mail etc, por lo que WhatsApp si que tomó medidas también para evitar en cierta medida que los códigos de verificación caigan en buzones que después puedan ser escuchados por otras personas que no sean los propietarios.

Algo parecido pasa con Tobi de Vodafone, con el 607123000, aunque esto es más atrevido aún, metes el número de quien sea llamando desde el número que sea y ya de entrada te dice el nombre del titular, eso sí, para hacer una gestión te pide los 2 primeros números del DNI, pero si llamadas desde el propio número ya te da más información por que el IVR se fía más.

Lo de BBVA seguramente también se lo tragará, el sistema ve que la llamada está siendo realizada desde el número validado en tu cuenta y ya te identifica. Menuda mierda como está todo, a mí lo de Simyo me jode por que soy cliente y se le reportó hace unos meses y no hicieron nada, pero seguro que cuando el dueño de este foro empiece a hacer público el fallo la cosa cambia, así es como funcionan las cosas, haciendolas públicas.

Josh

Muy interesante. Gracias por compartirlo.

Cuenta verificada ¿te refieres a que SIPDiscount te obliga a verificar el número enviándote un SMS para poder usar ese número como remitente?

¿Lo del robo de cuentas de WhatsApp a clientes MásMóvil es una deducción tuya o hay más info en algún sitio?

🗨️ 1
Tinkinaz304
5

Hola Josh, SIPDiscount así como muchos de los otros programas VoIP que comparten la misma infraestructura funcionan igual, te envían un SMS para verificar que el número es tuyo y ya puedes llamar con él, además en Netelip en su día también verifiqué el número y puedo llamar con él, aparte que hay Apps que sin ninguna verificación (no voy a decir cual) te permite poner como remitente de llamada el número que quieras para poder hacer spoofing. Lo del robo de cuentas de WhatsApp ya le ha sucedido a varios familiares y amigos siempre en Yoigo, algunos con números fáciles de recordar, me puse a investigar un poco y resulta que aprovechaban un bug del buzón de voz de Yoigo para escuchar los códigos enviados por WhatsApp y así hacerse con la cuenta de WhatsApp de la víctima.

Después de buscar mucha información los mismos que robaron la cuenta confesaron de que robaban las cuentas de WhatsApp y otras redes de mensajería simplemente para pedir rescates o si eran números molones venderlas a otros usuarios que les gustaba tener cuentas con números "chulos" ya que así tenían más reputación en grupos etc, incluso me dieron información de operadoras que tenían este fallo en España y en otros paises, entre ellas habían algunas compañías afectadas en la red Orange (Llamaya 3G, Orange, Youmobile, Suop, PTV Telecom, todo el grupo MásMóvil, incluso Tuenti etc…) inmediatamente notifiqué a WhatsApp del fallo y se ve que tomaron medidas, también avisé al CEO de MásMóvil y lo solucionaron, pero Simyo no movió ni un dedo para poder arreglarlo.

Mira aquí un video en YouTube de un ejemplo: youtube.com/watch?v=uxD4vaUOkso

Con buscar "buzonear buzón de voz" en YouTube, te salen videos enseñando como esta gente lo hacen, suelen ser latinoamericanos y el único fin que tienen es la de robar cuentas para la venta. Pero con mi mensaje voy más allá, pues con el spoofing no sólo se pueden robar cuentas de WhatsApp y demás que siempre recomiendo tener una doble verificación, si no que también las IVRs de las compañías como por ejemplo las de Simyo son vulnerables ya que cualquiera que simule llamar desde un número Simyo utilizando un falsificador de llamadas podrá hacer las gestiones que el IVR le permita lo cual no me parece nada correcto y lo peor de todo es que Simyo no hace nada al respecto.

¿Qué te parece Josh si se lo comentas a Simyo a ver si a ti te hacen un poquito de caso? jajaja. Saludos.

Erpepotemf

Que eliminen el buzón de voz que para eso son low cost y punto.

🗨️ 2
Tinkinaz304

Que fácil lo arreglas tú el problema no? Qué arreglen el fallo y ya está, es lo que deberían de hacer, o mejor dicho, los fallos que tienen, sobre todo lo de mostrar los números ocultos que eso es ilegal xD

🗨️ 1
Erpepotemf

pues mola así nadie puede tocarte las narices llamadote con nº oculto

1