Когда-нибудь видели такое, что в социальных сетях ваша бывшая одноклассница Оля стала каким-то усатым Николаем? А в чужой групповой чат попадали по ошибке? Причем не просто какой-то спам, а реальный чат друзей, собирающихся на рыбалку или на день рождения? Может, получали сообщение в Telegram о новом пользователе с номером покойной бабушки Зины?
Что-то подобное может произойти после блокировки SIM-карты спустя определенный период бездействия (обычно от 60 до 365 дней в зависимости от оператора), когда номер вновь поступает в продажу.
А что произойдет, если новый владелец вашего прежнего номера попробует авторизоваться там, где ранее регистрировались вы? Чтобы ответить на этот вопрос, мы провели эксперимент.
Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Наша цель — рассказать о существующих уязвимостях, которыми могут воспользоваться злоумышленники, предостеречь пользователей и дать рекомендации по защите личной информации в интернете. Авторы не несут ответственности за использование опубликованной информации. Помните, что нужно следить за защищенностью своих данных.
А еще мы сняли классное видео на эту тему — смотрите!
Эксперимент. Начало
Изначально мы составили список из 80 популярных в России сервисов и приложений. Среди них 56 были со входом по номеру телефона и паролю из СМС-сообщения. Половина таких приложений требовали ввести пароль, но позволяли сбросить его по коду из СМС-сообщения. Для упрощения задачи мы исключили приложения, для которых не было браузерной версии, и личные кабинеты мобильных операторов.
В итоге осталось 38 приложений, которые для удобства мы разделили на девять категорий. Больше половины из них составили личные кабинеты на сайтах компаний (24%), интернет-магазины и аптеки (16%) и сервисы доставки готовой еды и продуктов питания (16%). В отдельную категорию мы выделили сервисы SSO (10%) — они предоставляют единый аккаунт для всех приложений той или иной компании.
Следующим этапом стала покупка SIM-карт. Было решено приобрести 100 SIM-карт у пяти крупных операторов связи. Для чистоты эксперимента 30 SIM-карт были куплены традиционным способом в салонах сотовой связи («белые»), еще 50 SIM-карт приобретены через каналы в Telegram («серые»), остальные 20 номеров планировалось взять в аренду через специализированные онлайн-сервисы (виртуальные). В итоге удалось приобрести только 15 виртуальных SIM-карт вместо 20. Таким образом, всего было задействовано 95 номеров.
Когда был составлен список приложений и приобретены SIM-карты, пришло время приступить к эксперименту — проверить возможность авторизации в каждом из 38 приложений. Мы посчитали, что если на проверку каждого аккаунта вручную тратить примерно 5 минут, то на проведение эксперимента потребуется около 13 суток ? Чтобы сэкономить время, было решено купить SIM box — специальное устройство для приема и передачи СМС-сообщений и совершения звонков. Для нашего эксперимента мы использовали устройство на восемь SIM-карт с поддержкой 2G, что позволило нам принимать сообщения с паролями сразу на несколько номеров одновременно.
С каждым номером телефона мы проверяли возможность аутентификации в приложениях из ранее составленного списка, используя формы входа или восстановления пароля. После проверки 20% номеров мы сократили список до 13 сервисов с самой высокой вероятностью успешного входа. Благодаря такой оптимизации и использованию SIM box мы справились за один день.
Полезная брешь
Отдельно отметим, что каждое третье исследованное приложение (12 из 38) содержало уязвимость User Enumeration, которая позволила частично автоматизировать эксперимент и сократить время на его проведение.
В некоторых сервисах при вводе номера телефона существующего пользователя можно было увидеть сообщение «На ваш номер отправлено СМС-сообщение с кодом». И наоборот, при вводе номера телефона, для которого учетная запись ранее не была создана, мы видели слова «Пользователь с таким номером не найден» или аналогичные по смыслу. Из этого мы делали вывод, существует ли в системе аккаунт, привязанный к введенному номеру телефона, или нет. Аналогичные сообщения встречались также в формах регистрации и при восстановлении пароля. С точки зрения безопасности разное содержание сообщений — недостаток, который позволяет гипотетическому злоумышленнику определить, какие аккаунты существуют, чтобы продолжить атаку. Проверку аккаунтов в приложениях с таким недостатком можно автоматизировать.
Кроме того, на этапе подготовки к атаке, еще до покупки SIM-карт, злоумышленники могут предварительно составить список номеров, для которых существуют аккаунты, что дополнительно повысит шансы на успешный улов: они могут не покупать номера, на которые ранее не были зарегистрированы аккаунты.
Не пропадать же ̶д̶о̶б̶р̶у̶ номерам
В ходе эксперимента мы выяснили, что почти половина (43%) номеров ранее уже использовались для регистрации в сервисах из нашего списка. Найти незаблокированный аккаунт прежнего владельца получалось в каждом третьем случае: для 37% всех номеров удалось найти активный аккаунт хотя бы в одном из сервисов, для 6% номеров ранее созданные аккаунты были заблокированы. Среди тех номеров, которые уже использовались для регистрации, в каждом четвертом случае (27%) подтвердилась возможность входа в аккаунты прежних владельцев минимум в двух сервисах.
Продавцы «серых» SIM-карт, узнавая цель покупки, давали советы по выбору операторов, номера телефонов которых лучше всего подходят для нашей задачи. Результаты эксперимента подтвердили их рекомендации.
У двух операторов из пяти доля успешных подтверждений возможности авторизации оказалась выше, чем у остальных. Один из пяти операторов, обнаружив активность, блокировал SIM-карты, поэтому успешная авторизация оказалась возможной только с одним из 18 номеров этого оператора. Блокировка происходила довольно быстро — СМС-сообщения с одноразовыми паролями переставали приходить после нескольких попыток.
Кроме того, было установлено, что при попытке входа в личный кабинет два оператора из пяти раскрывают Ф.И.О. человека, на которого оформлен номер. Это значит, что злоумышленник, воспользовавшийся «серым» номером для проведения той или иной атаки, может в дальнейшем использовать полученные персональные данные.
В ходе эксперимента мы не выявили зависимости между возможностью успешной авторизации и категорией SIM-карты («серая», «белая» и виртуальная).
Ценные находки
Всего удалось подтвердить возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. При этом ни в одном из исследованных случаев не была подтверждена возможность доступа к банковскому аккаунту.
В ходе эксперимента мы заметили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунты с этим номером обнаружены не были. Это значит, что злоумышленники могут использовать этот факт для оптимизации массовых атак на пользователей.
Что в итоге
Потеря телефона или длительная заграничная командировка — основные причины, по которым владелец номера мобильного телефона может потерять к нему доступ. Потеря номера — это одновременно и утрата доступа к онлайн-сервисам и приложениям, к которым этот номер был привязан. А это, в свою очередь, дает почву для атак злоумышленников, как только ваш прежний номер телефона вновь поступит в продажу. Мы подготовили рекомендации для абонентов, разработчиков приложений и операторов мобильной связи, которые помогут повысить ваш уровень защищенности.
Рекомендации
? Пользователям:
Сохраняйте доступ к своим номерам телефонов, не теряйте SIM-карты.
Вовремя пополняйте баланс и совершайте минимум одно платное действие раз в три месяца: отправьте СМС-сообщение или сделайте звонок.
Если доступ к номеру телефона утрачен и нет возможности своевременно его восстановить, перепривяжите ваши аккаунты к другому номеру, к которому у вас есть доступ.
Для критически важных приложений (мессенджеров, соцсетей, онлайн-банков) дополнительно используйте альтернативный способ авторизации, если это возможно, например через электронную почту.
Настройте двухфакторную аутентификацию, используя генератор одноразовых паролей, например Google Authenticator. Откажитесь от входа через код в СМС-сообщении, если это возможно.
Не выдавайте мобильным приложениям разрешения на чтение СМС-сообщений.
Никому не сообщайте одноразовые пароли.
В случае подозрительной активности обратитесь в службу поддержки приложения или вашего оператора сотовой связи.
✍️ Разработчикам приложений:
Предоставьте пользователям возможность выбрать способ авторизации. Добавьте вход по электронной почте или по протоколу OAuth.
Не используйте СМС-сообщение в качестве второго фактора аутентификации или добавьте опцию выбора генератора OTP в качестве второго фактора.
Не используйте СМС-сообщение как замену паролям при однофакторной аутентификации.
Раз в три месяца запрашивайте у пользователей подтверждение принадлежности им номера телефона.
Реализуйте безопасный процесс восстановления доступа к аккаунту в случае смены номера телефона.
В формах регистрации, авторизации и восстановления пароля не должна отображаться информация о наличии пользователя с указанным номером телефона.
Не допускайте восстановление пароля только по коду из СМС-сообщения.
Отслеживайте, откуда пользователи входят в аккаунт. Необычный IP-адрес или браузер должны вызывать подозрения у систем безопасности.
Уведомляйте пользователя о попытках входа из необычных мест.
Предоставьте пользователям возможность просматривать и завершать активные сессии. Необходимо завершать все активные сессии при смене пароля.
? Мобильным операторам:
Уведомляйте пользователей о скорой блокировке номера по электронной почте и по альтернативному номеру телефона.
Реализуйте возможность восстановить доступ к номеру телефона на сайте или в мобильном приложении.
Сталкивались ли вы с неожиданной сменой владельца номера? Может, это были вы сами?
Делитесь своими историями в комментариях ⬇️
Николай Анисеня
Руководитель отдела перспективных технологий, Positive Technologies
Яна Авезова
Старший аналитик, Positive Technologies
Комментарии (34)
Plesser
07.11.2024 09:46Проблемы бывают и у новых владельцев.
Недавно приобрел симку желтого оператора (без черных полосок). Создал телеграм эккаунт и открыл портал в ад. Посыпались каналы с порно, благо рядом не было жены. Позвонил оператору с претензией, какого черта и неужели трудно было деактивировать эккаунты мессенджеров привязанные к телефонному номеру? И понимают ли они, что окажись рядом жена, вечер перестал бы быть томным? В ответ мне сказали, что они такой ерундой не занимаются и могут выдать мне справку для жены о том, что ранее номер принадлежал кому то другому. Успокоили блин.
Вы думаете на этом все закончилось? Я решил привязать этот номер к опорному банку этого оператора (с таким же желтым логотипом) и попробовать перевести деньги по СБП по этому номеру самому себе. Вы думаете у меня получилось? Нет. Деньги чуть не улетели старому владельцу номера. Ибо этот номер оказался по прежнему привязан к нему. Спасибо моей внимательности.
ktori
07.11.2024 09:46Повезло что телеграм аккаунт вообще удалось создать, а номер не оказался заранее под пермаментным баном. А заниматься поиском и деактивацией аккаунтов действительно не дело операторов.
Plesser
07.11.2024 09:46Не дело, но они могут это делать, если они пекутся о лояльности новых клиентов
YMA
07.11.2024 09:46Поэтому при переезде, когда пришлось менять номер телефона - убедился при покупке, что он из свежевыделенной емкости и точно никому раньше не принадлежал. :)
Брать б/у номер смысла вообще нет, неизвестно, с каким наследством он идёт.
opaopalalala
07.11.2024 09:46Поделитесь житейской мудростью, как убедиться при покупке, что номер раньше никому не принадлежал?
salnicoff
07.11.2024 09:46Искать, когда блок номеров был выдан оператору. Если «на днях», то, скорее всего, все номера «чистые». Если несколько лет, значит, почти наверняка будет б/у.
uranik
07.11.2024 09:46а где эта таблица ведётся?
salnicoff
07.11.2024 09:46Распределением номеров занимается Минсвязи. Поэтому либо тут:
https://opendata.digital.gov.ru/registry/numeric
либо искать то же самое, но в полном варианте на других сайтах. Еще вариант — перебирать приказы и смотреть их даты.
bigbamblbee
07.11.2024 09:46А да легко - просто пользоваться своим номером и не менять его десятилетиями. И все) А те кто часто меняют номера, сталкивался вот с такими вот последствиями.
Timofeuz
07.11.2024 09:46Была мысль брать платные ("красивые") номера, может они реже ходят в обороте.
YMA
07.11.2024 09:46Раньше на mtt.ru рядом с диапазоном номеров была информация, когда он был выделен. Сейчас заглянул туда - нету. :(
Поэтому надо пойти длинным путем. Есть вот такие документы:
МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ
И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ от 30 июля 2024 г. N 672 ОБ УТВЕРЖДЕНИИ РЕШЕНИЙ О ВЫДЕЛЕНИИ РЕСУРСА НУМЕРАЦИИ, ИЗМЕНЕНИИ, ПЕРЕОФОРМЛЕНИИ И ИЗЪЯТИИ ВЫДЕЛЕННОГО РЕСУРСА НУМЕРАЦИИВ приложении к нему указано, кому что выделено. Смотрим приказы за последние полгода (чтобы номер не успел замараться, отлежаться и поступить в продажу), выписываем емкости для интересующего оператора и региона. А потом идем в офис оператора и требуем продать вам номер из этого диапазона... ;)
Из предыдущего приказа
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ТИНЬКОФФ МОБАЙЛ"
76055 от 27.04.2024
31447
Л030-00114-77/00058915
Российская Федерация
16.05.2027
933
1085000
0925000-0939999 15000 Саратовская область
0940000-0949999 10000 Курская область
0950000-0959999 10000 Рязанская область
0960000-0974999 15000 Калужская область
0975000-0989999 15000 Республика Хакасия
0990000-0994999 5000 Республика Мордовия
0995000-0999999 5000 Брянская область
4500000-4549999 50000 Краснодарский край
4550000-4624999 75000 Город Санкт-Петербург, Ленинградская область
4625000-4649999 25000 Новосибирская область
4650000-4669999 20000 Иркутская область
4670000-4689999 20000 Пермский край
opaopalalala
07.11.2024 09:46Спасибо за наводку на приказы. Но придется тогда еще проверять, чтобы диапазон не был ранее изъятым.
salnicoff
07.11.2024 09:46Не забывайте о массовой перенумерации мобильных номеров, когда третью цифру в кодах делали не от балды, а привязывали к регионам.
MaFrance351
07.11.2024 09:46окажись рядом жена, вечер перестал бы быть томным
Вспомнилось что-то...
Давным-давно (лет восемь назад) искал, как отрубить "подаренный" оператором гудок. Ну и наткнулся на чью-то историю, как она купила симку, а оператор невесть зачем поставил на гудок не что иное, как песню "Потап и Настя - Я тебе изменяю". Объясняться ей, вероятно, пришлось долго...
ktori
07.11.2024 09:46Обязательная привязка номера к аккаунту - зло. Возможность имея только номер восстановить доступ к этому аккаунту - абсолютное зло. К сожалению, ничего из этого меняться в обозримом будущем не будет, потому что регистрация+вход через одну смс - удобно для среднего пользователя.
saege5b
07.11.2024 09:46Собственно, это началось с пожелания правительства РФ гвоздями прибивать номера телефонов к аккаунтам, а далее по логике: раз всё равно номер телефона приколочен, то пусть будет и вход по номеру телефона.
salnicoff
07.11.2024 09:46Пожелание сие скопировано с плохих практик того же «Гугла», который решил защищаться от спаммеров с помощью телефона. :-(
titbit
07.11.2024 09:46К номеру привязывают все что только можно (от госуслуг и банков до мессенджеров), но при этом сам номер человеку не принадлежит и может быть отобран в любой момент и не только из-за неактивности. И за последние 20 лет привязки стали только жестче, а вот хотя бы возможность закрепления номеров так и не появилась. Это же явная проблема, но похоже никто и не собирается ее решать. Поэтому, увы, можно только советовать "не класть все яйца в одну корзину", т.е. не привязывать к одному номеру слишком много всего.
Kiborg777
07.11.2024 09:46Обязательная привязка сервисов к номеру телефона - абсолютное зло.
Особенно бесит невозможность добавить еще один фактор в качестве 2FA (кроме СМС).
Но нужно сказать. что в последнее время как минимум в США начали отказываться от обязательной привязки
Google, Microsoft, login.gov (американский аналог Госуслуг), Facebook позовляют убрать номер телефона из аккаунта.
Metotron0
07.11.2024 09:46Сделали бы уже вход по номеру счёта в банке. А вместо SMS — копеечку на счёт.
koshkoshka2
07.11.2024 09:46Мне Альфа банк не может отвязать мой номер от предыдущей владелицы. Людмила Николаевна Н., если вы читаете это сходите в Альфа банк и отвяжите
salnicoff
07.11.2024 09:46Они не умеют. Уже проходили.
koshkoshka2
07.11.2024 09:46А на мой марокканский номер вообще оказалась зарегистрирована в одном из банков ипотечная должница, само собой звонили коллекторы, пока их не послал, а владелицу даже разыскал сам
strvv
Это реально проблема.
Когда покупаешь симку, например у меня было, когда брал симку матери.
Там писали коллекторы и банки. Как это заметил, отзвонился по публичным номерам банков, что данный номер уже не у того владельца, но всем пофиг. В итоге, для простоты решения - сдал симку обратно. Нервы дороже.
kabashin
Раньше подобные проблемы решались бесплатной сменой номера (по письменной претензии).
MaFrance351
А ещё может быть проблема, что купил симку с новым номером, а он у большинства тех, кому ты звонишь, уже забит в чёрный список. Потому что год назад он стоял в подобном сим-банке у мошенников для холодных обзвонов.
С коллекторами тоже сталкивался, причём презабавным образом. Купили новую симку МТСа, спустя пару дней пришло SMS "Ваше дело было передано в суд для взыскания всей суммы кредита, срочно свяжитесь с сотрудником судебного отдела "Сетелем банка"". Деньги вернули, симку выкинули. Купили в Tele2 (заодно захотелось попробовать другого ОпСоСа), и... прямо в день покупки получили пару гневных звонков и примерно такое же SMS, правда, от летобанка.
salnicoff
У меня такое с городским номером было — там-то явно все номера сейчас б/у. Оказалось, что какая-то тетенька должна куче банков много-много миллионов. Первое время приглашали всех этих коллекторов зайти (адрес-то у той тетеньки был другой), потом завалились приставы, и уже ко мне. Как ни странно, приставы оказались вменяемыми, пробили смену адреса и больше не беспокоят, а вот коллекторы иногда еще позванивают.
Metotron0
У меня так с квартирой было, года три шли письма из банков и даже приставы приходили. А недавно опять пришло какое-то письмо на старое имя.