BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Móvil
💭

Spoofing de número Simyo permite acceder al buzón de voz y hacer gestiones, también permite descifrar números ocultos.

1
Tinkinaz304
8

ACTUALIZADO: 28/08/2024 SOLUCIONADO SÓLO LO DE NO VER EL NÚMERO OCULTO EN ÁREA DE CLIENTES

Al llamar al 644100121 (atc.cliente de Simyo) desde mi cuenta VoIP con mi número Simyo verificado, el IVR del 644100121 me reconocía como cliente Simyo y me permitía hacer gestiones, cambiar bonos, etc.

También me dio por llamarme a mi propio número de Simyo desde mi cuenta SIPDiscount (mi número Simyo tenía el buzón de voz activo) y parece ser que el buzón de voz al recibir una llamada desde el propio número, directamente se accede al buzón de voz.

Ejemplo: Tengo el número ficticio 999123123, al llamar desde el 999123123 desde SIPDiscount al 999123123 (teniendo buzón activo), directamente se accede al buzón de voz y se pueden escuchar todos los mensajes de voz. Esto podría permitir a un atacante de Spoofing acceder al buzón de voz y escuchar mensajes, (con códigos de acceso).

Por último Simyo cuenta con otro fallo que ya tenía en el pasado (año 2008) y que ya habían arreglado, es la posibilidad de visualizar en el área de clientes llamadas entrantes recibidas con números ocultos. Ahora nuevamente cuando te llama un número oculto, Simyo te lo muestra en el área de clientes el número completo que te ha llamado.

Simyo dispone de 3 importantes fallos los cuales ya han sido reportados hace meses y no han hecho nada por solucionarlos.

  • A través del 644100121 con una llamada de spoofing otra persona puede consultar información de tu línea Simyo. Simyo no debe permitir que el 644100121 identifique tu número de teléfono Simyo, sólo si la llamada se hace al 121.
  • A través de una llamada de spoofing realizada así mismo a un número Simyo con buzón de voz activo, se puede acceder al buzón de voz. Esto es útil para que un estafador pueda acceder a tu buzón de voz y escuchar tus mensajes.
  • Simyo descifra llamadas con número oculto en su área de clientes.

Lo del buzón de voz ocurre en varios operadores con red Orange, creo que el problema es del buzón de Orange y la implementación que tiene ¿qué sentido tiene que se pueda acceder al buzón de voz cuando alguien se llama así mismo?

Fallo de MásMóvil que permitió robar cuentas de WhatsApp

Al grupo MásMóvil se le notificó un fallo el cual mediante Spoofing un delincuente podía acceder al buzón de voz (633633633) de cualquier número Yoigo (también OMVs de Yoigo) falseando el número de teléfono, el grupo MásMóvil lo solucionó, la técnica fue utilizada para el robo de multitud de cuentas de WhatsApp ya que los delincuentes utilizaban los mensajes de voz grabados por WhatsApp con el código en el buzón de voz para luego acceder y escuchar el código y así robar la cuenta de WhatsApp.

Una vez solucionado el problema en GrupoMásMóvil y avisado del problema a WhatsApp, ahora se tomaron medidas y no se puede acceder si previamente no se establece comunicación inicial desde el propio número modificando la clave por defecto.

Por otro lado WhatsApp estableció otra medida de seguridad muy interesante que consiste en que cuando recibes un código por llamada telefónica, debes pulsar una tecla (al azar que ellos te dicen) para que te dicten el código, cosa que un buzón no podría hacer.

Precauciones a tomar en cuenta

Si eres cliente de Simyo o un OMV que use la red Orange, desactiva tu buzón de voz y envía una queja a Simyo para que deshabiliten el 644100121 temporalmente hasta que solucionen el problema de no identificar a los clientes de Simyo a través del número largo, pues hay brechas de seguridad en la IVR, al menos que para cualquier gestión el IVR te solicite introducir el número de DNI del titular.

Y por último, que Simyo solucione el problema con el buzón de voz así como lo de las llamadas con número oculto, espero que estos mensajes en este foro con gran visibilidad sirvan para que la operadora tome cartas en el asunto y procedan a solucionarlo.

Charlystar

Por desgracia esto del spoofing parece no importarle a ninguna empresa. Es igual o incluso más grave que el SIM swapping (ya que en ese caso si detectas que te quedas sin cobertura a tiempo puedes tomar medidas).

BBVA también autentica automáticamente al cliente para hacer gestiones al llamar a la línea BBVA desde el número de teléfono asociado a tu cuenta. Desconozco si es vulnerable a spoofing ya que no lo he comprobado, pero imagino que sí ya que no se de qué forma se puede comprobar por parte de la empresa si es spoofing.

Tinkinaz304
1

Gracias por responder. Pues menuda mierda, como está todo. Pues el grupoMásMóvil tomó medidas rápidamente, afectaba al buzón de voz de toda su red y lo solucionaron de raíz. Y WhatsApp también tomó medidas al no grabar el código en ningún buzón a no ser que sea una persona real la que atienda la llamada (previamente pulsando la tecla que ellos digan). Pero sé que hay más empresas de mensajerías y otros sitios que siguen verificando con códigos directamente, por ejemplo quizás puedan ser cuentas de e-mail etc, por lo que WhatsApp si que tomó medidas también para evitar en cierta medida que los códigos de verificación caigan en buzones que después puedan ser escuchados por otras personas que no sean los propietarios.

Algo parecido pasa con Tobi de Vodafone, con el 607123000, aunque esto es más atrevido aún, metes el número de quien sea llamando desde el número que sea y ya de entrada te dice el nombre del titular, eso sí, para hacer una gestión te pide los 2 primeros números del DNI, pero si llamadas desde el propio número ya te da más información por que el IVR se fía más.

Lo de BBVA seguramente también se lo tragará, el sistema ve que la llamada está siendo realizada desde el número validado en tu cuenta y ya te identifica. Menuda mierda como está todo, a mí lo de Simyo me jode por que soy cliente y se le reportó hace unos meses y no hicieron nada, pero seguro que cuando el dueño de este foro empiece a hacer público el fallo la cosa cambia, así es como funcionan las cosas, haciendolas públicas.

Josh

Muy interesante. Gracias por compartirlo.

Cuenta verificada ¿te refieres a que SIPDiscount te obliga a verificar el número enviándote un SMS para poder usar ese número como remitente?

¿Lo del robo de cuentas de WhatsApp a clientes MásMóvil es una deducción tuya o hay más info en algún sitio?

🗨️ 1
Tinkinaz304
5

Hola Josh, SIPDiscount así como muchos de los otros programas VoIP que comparten la misma infraestructura funcionan igual, te envían un SMS para verificar que el número es tuyo y ya puedes llamar con él, además en Netelip en su día también verifiqué el número y puedo llamar con él, aparte que hay Apps que sin ninguna verificación (no voy a decir cual) te permite poner como remitente de llamada el número que quieras para poder hacer spoofing. Lo del robo de cuentas de WhatsApp ya le ha sucedido a varios familiares y amigos siempre en Yoigo, algunos con números fáciles de recordar, me puse a investigar un poco y resulta que aprovechaban un bug del buzón de voz de Yoigo para escuchar los códigos enviados por WhatsApp y así hacerse con la cuenta de WhatsApp de la víctima.

Después de buscar información, pude averiguar otras compañías afectada en la red Orange (Llamaya 3G, Orange, Youmobile, Suop, PTV Telecom, todo el grupo MásMóvil, incluso Tuenti etc…) inmediatamente notifiqué a WhatsApp el fallo y parece que tomaron medidas, también avisé al CEO de MásMóvil y lo solucionaron, pero Simyo no hizo nada para arreglarlo.

Con buscar "buzonear buzón de voz" en YouTube, te salen videos enseñando como lo hacen, el único fin que tienen es la de robar cuentas de mensajería. Con mi mensaje voy más allá, pues con el Spoofing no sólo se pueden robar cuentas de WhatsApp (recomiendo tener siempre doble verificación), si no que también las IVR de las compañías como por ejemplo las de Simyo o Vodafone son vulnerables ya que cualquiera que simule llamar desde un número Simyo o Vodafone utilizando un falsificador de llamadas podrá hacer las gestiones que el IVR le permita.

¿Qué te parece @Josh? ¿se lo comentas a Simyo o haces un artículo para que la gente tenga cuidado?

Paz sí

Que eliminen el buzón de voz que para eso son low cost y punto.

🗨️ 3
Tinkinaz304

Que fácil lo arreglas el problema, ¿no? mejor que arreglen el fallo y ya está que es lo que deberían de hacer, o mejor dicho, los fallos que tienen, sobre todo lo de mostrar los números ocultos en llamadas entrantes, que eso es ilegal.

🗨️ 2
Paz sí

pues mola así nadie puede tocarte las narices llamadote con nº oculto

🗨️ 1
Tinkinaz304

Pueden hacerlo igualmente, ya sea llamando oculto o con número.

Tinkinaz304

En 2008 cuando nació Simyo y ya tenían este problema, se comentó en este mismo foro:

Simyo, único OMV con el que identificar llamadas ocultas

Estaría bien un artículo de @Josh informando estos fallos que existen en la telefonía, cuanta más visibilidad se le den a estas cosas en internet los usuarios podrán estar más protegidos.

Tinkinaz304

Simyo informa que a finales de agosto de 2024 el fallo que muestra las llamadas con número oculto debería estar resuelto. Lo siento por todos aquellos que utilizaban este bug para descubrir quien les llamaba oculto, pero saber el número que te llama de otra persona que está llamándote oculto, es una invasión a la privacidad del usuario que llama y creo que eso es un delito en España.

Si no queréis recibir llamadas con número oculto o no identificadas, la mayoría de móviles que existen en el mercado permiten bloquear este tipo de llamadas.

De todos modos creo que se debería de hacer como en otros países en lo que llamar con número oculto no es posible, no existe y no funciona por que en esos países no está permitido, lo digo por que hoy en día quien llama con número oculto es para molestar o para hacer algo malo la mayoría de las veces, así que pienso que en España eso deberían de quitarlo.

Captura de pantalla 2024-08-24 a las 21.49.45
Paz sí

Gracias por la info. Ya he desactivado el contestador de las 4 líneas de mi familia.