Риски использования служб виртуальных номеров для приёма смс при регистрации на интернет-ресурсах


    Ранее мы уже писали о возможности получения личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей.

    Небольшой обзор ниже рассмотрит обратную сторону медали — риски взлома учётных записей на интернет-ресурсах в случаях, когда имеется доступ к приёму смс — например в случае использования бесплатных служб виртуальных номеров.

    Введение


    Зачастую, пользователи не желают оставлять свои личные телефонные номера, а также экономят на покупке номеров для переадресаций или организации приёма смс, пользуясь бесплатными службами, доступными в интернет.

    Таких служб на самом деле немало, ниже перечислены некоторые рабочие в данный момент:

    tempsms.ru
    onlinesim.ru/sms-receive
    5sim.net/free
    getfreesmsnumber.com/#
    receive-a-sms.com
    receive-sms.com
    sms.sellaite.com/index.php#phone_list
    receive-sms-online.com
    receivesmsonline.com
    receivefreesms.com
    smsreceivefree.com
    www.receivesmsonline.net

    Суть работы этих служб проста: пользователю предоставляется некоторый номер и базовый веб-интерфейс, отображающий поступающие на этот номер смс-сообщения в реальном времени.



    Возможен выбор номеров различных стран, наиболее популярны США, РФ, Великобритания и Канада, хотя любители экзотики могут воспользоваться телефонами, например, Филиппин или Бразилии.



    Для пользования бесплатными номерами сервисы не требуют регистрации и абсолютно анонимны. Если же пользователь желает получить номер, который не будет отображаться всем, за это придётся заплатить. Цена зависит от срока аренды номера и кода страны — и может варьироваться в очень широких пределах от пары сотен рублей до $30 и выше.

    Понятно, что рядовой пользователь, который не желает «светить» свой номер и получать спам в виде смс, одновременно недооценивает безопасность и пользуется бесплатными, временными и публично доступными услугами. Обычно, это мотивируется «для восстановления пароля мне хватит и электронной почты», «я всё равно не буду этим пользоваться» и т.д.

    Риски и описание атаки


    Риски в описанной ситуации очевидны: злоумышленник может читать смс, как и любой иной посетитель сайта бесплатных номеров. Это значит, что потенциально на странице учётной записи может быть инициирована процедура восстановления пароля по отправке кода на привязанный номер телефона — после чего доступ легко получается.

    После получения доступа злоумышленник может уже легко изменить адреса электронной почты и номер телефона, и таким образом полностью завладеть учётной записью жертвы.



    Поскольку обновление списка бесплатных номеров производится иногда довольно редко — раз в несколько месяцев — злоумышленник может найти много довольно интересной информации, накопленной жертвой за этот период.

    Наш небольшой анализ


    Мы попробовали воспользоваться указанным механизмом и получить доступ к некоторым учётным записям.

    Мы обнаружили следующие основные случаи применения бесплатных служб смс с возможностью получения доступа.

    • Социальные сети и службы знакомств. В этом случае доступ получить достаточно легко, особенно если пользователь не установил дополнительную проверку безопасности. Следует сказать, что большинство учётных записей использовались для мошенничества и были заблокированы, однако в ряде случаев — они были вполне используемыми, иногда даже с активированными платными услугами. Особенно в этом случае уязвимы пользователи служб знакомств, например, Мамба, поскольку дополнительной безопасности на этих ресурсах попросту не предусмотрено, а переписка содержит достаточно много деликатной информации, которая может легко быть использована для шантажа.
    • Регистрация Viber, WhatsApp и т.д. Несмотря на очевидность того, что после «устаревания» бесплатного номера пользователь легко может потерять доступ к своей учётке, мы обнаружили достаточно много активно используемых учётных записей. Риски в этом случае совершенно аналогичны социальным сетям — вся деликатная переписка, а также фото могут стать добычей злоумышленника.
    • Использование различных интернет услуг. Очень часто на номер высылались логин и пароль, а потому доступ получался абсолютно без проблем. Мы не ставили задачу побить рекорд по количеству денег на сервисах, более того — мы не воспользовались ни единой копейкой, однако деньги были:
    • Мошеннические действия. Особенно в этом плане порадовали таксисты: подавляющее количество учёток, которые были получены с помощью бесплатных виртуальных номеров и проверены нами, соответствовали водителям, но не пассажирам. Это нам показалось логичным: вряд ли пассажир захочет, чтобы водитель к нему не дозвонился, а вот водитель очень часто набирает с другого номера, «потому что телефон сел» и т.д. Такие схемы позволяют заново обнулять рейтинг, пользоваться несколькими автомобилями и т.д.

      Также мы отметили массу смс, связанных с оформлением кредитных карт, получением займов и т.д.
    • Оформление полисов страхования, карт программ лояльностей и т.д.

    Выводы


    По-видимому, пользователи недостаточно осознают критичность использования бесплатных виртуальных номеров для регистрации различных учётных записей и прочих услуг. Это может быть как-то объяснено в случаях, когда номер используется для тестирования такой регистрации (хотя сам процесс тестирования не может быть удобным, поскольку любой может «угнать» полученную таким образом учётку и прервать ход работ), но никак не может быть оправдано в случаях, когда такая регистрация будет серьёзно использоваться впоследствии.

    Забавно, что несмотря на то, что многие службы проверяют привязку номера к VoIP-сервисам (так, например, не удастся зарегистрироваться с помощью номеров, привязанных к Google Voice / Hangouts), но нам неизвестна такая проверка привязки к бесплатным виртуальным номерам — хотя такую проверку легко можно было бы осуществить простым звонком на номер.

    Это касается не только социальных сетей, но и банковских и кредитных организаций — безусловно, в них используются и другие методы проверок, но в плане бесплатных служб смс — полная брешь.

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 7

      –1
      Службы виртуальных номеров в большинстве случаев изначально используются для регистрации различных не совсем законных аккаунтов. Спам, мошенничество, назойливая реклама и всё в таком духе. Судя по сайтам знакомств, ещё и различные виды измен.
      Получается, нет совершенно никакого смысла в дополнительных мерах защиты информации, раз сервисы и так применяются не для самых честны дел.
        0
        Ну скажем так — на 80% — скажем так: нечестного использования, примерно 20% нормального.
        Так что Вы немного не правы.
        0
        Не везде всё так плохо. К примеру, для восстановления доступа к вк требуется помимо телефона еще и знание фамилии. Таким образом не так уже просто получить доступ к чужому вк.
          0
          Я где-то в статье упомянул, что везде?
          0
          на сервисе freeje.com подавляющее большинство пользователей виртуальных смс номеров-это как раз легальные компании. например, в сфере интернет-маркетинга- для создания социальных профилей, краудмаркетинга. Также, ачастую, это вынужденная мера. Если в компании несколько человек должны получить доступ к сервису с 2х факторной авторизацией. Физически невозможно всем обеспечить доступ к реальной симке. А виртуальные номера с переадресацией на email или CRM решают эту проблему.
            0
            Телфин предлагает легальные виртуальные номера телефонов с надежной и безопасной связью.
            Предлагаются номера 68 регионов России и 38 стран мира.
            В том числе возможно подключить виртуальный мобильный номер Санкт-Петербурга(с подключением АТС) для приема SMS.
              0

              Если для регистрации хоть сколь-нибудь ценного аккаунта использовалась виртуальная сим-карта — владелец идиот: ведь всегда можно на рынке купить симку, не вешая договор на свои персональные данные.


              И если аккаунт был хоть сколь-нибудь ценным, то лучше если юзер на потере такого аккаунта осознает необходимость быть более осторожным/осмотрительным, что позволит ему в будущем не попасть на более серьезные уловки мошенников.

              Only users with full accounts can post comments. Log in, please.