Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Временный номер — борьба за безопасность?

04.10.2020 /
Прочитать позже

    Отправим материал на:

    Временный номер — борьба за безопасность?

    Мы пользователи, и обычно хотим всего и сразу. Сначала нам нужна двухфакторная аутентификация для защиты наших аккаунтов, а еще удобные оповещения на почту и по SMS. Потом мы ищем приватности и пытаемся уберечь свои телефоны и e-mail от спама.

    В результате такого противоречия набрали популярность сервисы, где можно получить временный почтовый ящик или временный телефонный номер.

    Последние заинтересовали аналитиков Digital Security. Некоторое время мы наблюдали за активностью на подобных сервисах и анализировали, для чего люди используют временные номера, и безопасная ли это вообще затея. (Спойлер: нет). Результатами наблюдений делимся в статье.

    Disclaimer: ни один беспечный пользователь не пострадал (от наших рук). При подготовке материала специалисты Digital Security не нарушали приватность пользователей данных сервисов. Все сценарии атаки сконструированы на основании открытой информации и нашего профессионального опыта.

    Итак, начнем. По запросам «временный номер», «телефонный номер онлайн», «бесплатный прием смс» и подобным в поиске выпадает множество сервисов, платных и бесплатных. Они могут выглядеть, например, так.

    Далее вы можете «арендовать» номер и указать его по месту требования (при регистрации где-либо, оформлении заказа и т.д.). Для каждого из номеров доступен чат, где в режиме реального времени отображаются приходящие на него СМС. Например, так:

    На первый взгляд выглядит довольно невинно, но давайте посмотрим глубже.

    Больше, чем код

    Большинство сообщений на временные номера — это коды подтверждения. Казалось бы, кому нужен мой код подтверждения? Код, действительно, бесполезен. Однако в сообщении также виден ресурс, к которому был привязан телефонный номер.

    Это значит, что злоумышленник может попытаться получить доступ к аккаунту, нажав «забыл пароль». Многие ресурсы позволяют сменить пароль и отправляют СМС с кодом подтверждения все на тот же номер.

    Варианты дальнейшего развития событий самые разные: зайдя в учетную запись, можно увидеть конфиденциальную информацию (вроде адреса доставки посылки, данных привязанной банковской карты и т.д.). Или отменить совершенную покупку. Или потратить уже накопленные бонусные баллы. В любом случае довольно неприятно.

    Кстати, некоторые ресурсы присылают по СМС не просто код подтверждения, а сам пароль от учетной записи. И злоумышленник опять-таки может украсть аккаунт, если сменит пароль на новый.

    Пароли, присылаемые по СМС, мы советуем сразу менять в личном кабинете на собственные, даже если вы используете свой настоящий номер телефона

    А вот и примеры подобных сообщений:

    Ставки растут

    В практике Digital Security встречается разное, но, признаться, нас все же удивило, что временные номера часто использовались для серьёзных вещей: оформления документов, совершения покупок и банковских операций.

    Начнем с предоплаченных покупок в интернет-магазинах. Самое безобидное последствие — покупатель может упустить дальнейшие сообщения о статусе заказа. К тому же, иногда курьеры звонят по указанным номерам, чтобы уточнить место или согласовать время доставки, что будет затруднительно в данном случае. Но главный риск в том, что уже оплаченную покупку заберут раньше покупателя.

    Нам попалось, например, такое сообщение:

    Надеемся, оплаченный заказ на сумму почти 13 тысяч рублей дождался своего настоящего хозяина в DNS на Народном бульваре.

    А вот кто-то оформил с помощью временного номера полис ОСАГО. Злоумышленник, отловивший такое сообщение, может зайти в личный кабинет и получить доступ к паспортным данным.

    Далее несколько примеров взаимодействия с банками:

    И напоследок мы обратили внимание на функциональность перевода по номеру телефона в мобильных банковских приложениях и решили кое-что проверить. Забив рандомные временные номера в своих приложениях, мы обнаружили, что да, есть банковские карты, привязанные к ним. Например:

    Мария Р., вы разбиваете наши сердца. С уважением, сотрудники Digital Security.

    К счастью, в банк-клиент нельзя войти, зная только лишь номер телефона. Однако оформлять карту на виртуальный номер, указывая при этом свои паспортные данные или любую другую чувствительную информацию, не стоит.

    Подведем итоги

    Итак, насколько страшно все, что мы обнаружили? Зависит от того, кто и для чего использует номер. Преимущественно они пригождаются не для самых благородных дел.

    Например, при регистрации ботов в немереном количестве для накрутки лайков. Для небольших махинаций — получить промокод/подписку за новую регистрацию, и для мошенничества посерьезнее — привязать чужую бонусную карту к своему аккаунту и потратить бонусные баллы (многое было написано про взлом программы лояльности «Перекрестка»).

    Однако виртуальные номера «арендуют» и простые пользователи в своих вполне невинных целях. Количество утечек баз данных с номерами телефонов удручает, возможность перевыпустить сим-карту без ведома владельца — тоже давно не новость.

    Поэтому нежелание светить свой реальный номер телефона вполне объяснимо, и подобные сервисы могут быть удобны. Регистрируйтесь с ними, если не боитесь потерять аккаунт или раскрыть важную информацию.

    В противном случае безопаснее использовать свой настоящий номер телефона. Например, при регистрации в мессенджерах и соцсетях. Одни почтовые сервисы и мессенджеры идентифицируют временный номер как ненадёжный и блокируют его, а другие легко предоставляют доступ к уже зарегистрированной учетной записи.

    Поэтому любые ресурсы, где хранится личная информация о вас, не лучшее место для использования общедоступных номеров. Мобильный банк также должен быть привязан к настоящему номеру телефона.

    Мы понимаем, что большинство пользователей, используя данные сервисы, не предполагают всех возможных последствий. Надеемся, что наш материал заставит задуматься о них и осознанно использовать либо свои настоящие контактные данные, либо же «арендованные».

    Больше интересных статей

    Подпишитесь на наши обновления

    Узнавайте все новости первыми

      Мы используем куки. Никогда такого не было, объясните

      ОК