Ранее мы уже писали о возможности получения личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей.
Небольшой обзор ниже рассмотрит обратную сторону медали — риски взлома учётных записей на интернет-ресурсах в случаях, когда имеется доступ к приёму смс — например в случае использования бесплатных служб виртуальных номеров.
Введение
Зачастую, пользователи не желают оставлять свои личные телефонные номера, а также экономят на покупке номеров для переадресаций или организации приёма смс, пользуясь бесплатными службами, доступными в интернет.
Таких служб на самом деле немало, ниже перечислены некоторые рабочие в данный момент:
tempsms.ru
onlinesim.ru/sms-receive
5sim.net/free
getfreesmsnumber.com/#
receive-a-sms.com
receive-sms.com
sms.sellaite.com/index.php#phone_list
receive-sms-online.com
receivesmsonline.com
receivefreesms.com
smsreceivefree.com
www.receivesmsonline.net
Суть работы этих служб проста: пользователю предоставляется некоторый номер и базовый веб-интерфейс, отображающий поступающие на этот номер смс-сообщения в реальном времени.
Возможен выбор номеров различных стран, наиболее популярны США, РФ, Великобритания и Канада, хотя любители экзотики могут воспользоваться телефонами, например, Филиппин или Бразилии.
Для пользования бесплатными номерами сервисы не требуют регистрации и абсолютно анонимны. Если же пользователь желает получить номер, который не будет отображаться всем, за это придётся заплатить. Цена зависит от срока аренды номера и кода страны — и может варьироваться в очень широких пределах от пары сотен рублей до $30 и выше.
Понятно, что рядовой пользователь, который не желает «светить» свой номер и получать спам в виде смс, одновременно недооценивает безопасность и пользуется бесплатными, временными и публично доступными услугами. Обычно, это мотивируется «для восстановления пароля мне хватит и электронной почты», «я всё равно не буду этим пользоваться» и т.д.
Риски и описание атаки
Риски в описанной ситуации очевидны: злоумышленник может читать смс, как и любой иной посетитель сайта бесплатных номеров. Это значит, что потенциально на странице учётной записи может быть инициирована процедура восстановления пароля по отправке кода на привязанный номер телефона — после чего доступ легко получается.
После получения доступа злоумышленник может уже легко изменить адреса электронной почты и номер телефона, и таким образом полностью завладеть учётной записью жертвы.
Поскольку обновление списка бесплатных номеров производится иногда довольно редко — раз в несколько месяцев — злоумышленник может найти много довольно интересной информации, накопленной жертвой за этот период.
Наш небольшой анализ
Мы попробовали воспользоваться указанным механизмом и получить доступ к некоторым учётным записям.
Мы обнаружили следующие основные случаи применения бесплатных служб смс с возможностью получения доступа.
- Социальные сети и службы знакомств. В этом случае доступ получить достаточно легко, особенно если пользователь не установил дополнительную проверку безопасности. Следует сказать, что большинство учётных записей использовались для мошенничества и были заблокированы, однако в ряде случаев — они были вполне используемыми, иногда даже с активированными платными услугами. Особенно в этом случае уязвимы пользователи служб знакомств, например, Мамба, поскольку дополнительной безопасности на этих ресурсах попросту не предусмотрено, а переписка содержит достаточно много деликатной информации, которая может легко быть использована для шантажа.
- Регистрация Viber, WhatsApp и т.д. Несмотря на очевидность того, что после «устаревания» бесплатного номера пользователь легко может потерять доступ к своей учётке, мы обнаружили достаточно много активно используемых учётных записей. Риски в этом случае совершенно аналогичны социальным сетям — вся деликатная переписка, а также фото могут стать добычей злоумышленника.
- Использование различных интернет услуг. Очень часто на номер высылались логин и пароль, а потому доступ получался абсолютно без проблем. Мы не ставили задачу побить рекорд по количеству денег на сервисах, более того — мы не воспользовались ни единой копейкой, однако деньги были:
- Мошеннические действия. Особенно в этом плане порадовали таксисты: подавляющее количество учёток, которые были получены с помощью бесплатных виртуальных номеров и проверены нами, соответствовали водителям, но не пассажирам. Это нам показалось логичным: вряд ли пассажир захочет, чтобы водитель к нему не дозвонился, а вот водитель очень часто набирает с другого номера, «потому что телефон сел» и т.д. Такие схемы позволяют заново обнулять рейтинг, пользоваться несколькими автомобилями и т.д.
Также мы отметили массу смс, связанных с оформлением кредитных карт, получением займов и т.д. - Оформление полисов страхования, карт программ лояльностей и т.д.
Выводы
По-видимому, пользователи недостаточно осознают критичность использования бесплатных виртуальных номеров для регистрации различных учётных записей и прочих услуг. Это может быть как-то объяснено в случаях, когда номер используется для тестирования такой регистрации (хотя сам процесс тестирования не может быть удобным, поскольку любой может «угнать» полученную таким образом учётку и прервать ход работ), но никак не может быть оправдано в случаях, когда такая регистрация будет серьёзно использоваться впоследствии.
Забавно, что несмотря на то, что многие службы проверяют привязку номера к VoIP-сервисам (так, например, не удастся зарегистрироваться с помощью номеров, привязанных к Google Voice / Hangouts), но нам неизвестна такая проверка привязки к бесплатным виртуальным номерам — хотя такую проверку легко можно было бы осуществить простым звонком на номер.
Это касается не только социальных сетей, но и банковских и кредитных организаций — безусловно, в них используются и другие методы проверок, но в плане бесплатных служб смс — полная брешь.
