Ранее мы уже писали о возможности получения личного номера телефона с помощью анализа и перебора социальных ресурсов и учётных записей.

Небольшой обзор ниже рассмотрит обратную сторону медали — риски взлома учётных записей на интернет-ресурсах в случаях, когда имеется доступ к приёму смс — например в случае использования бесплатных служб виртуальных номеров.

Введение


Зачастую, пользователи не желают оставлять свои личные телефонные номера, а также экономят на покупке номеров для переадресаций или организации приёма смс, пользуясь бесплатными службами, доступными в интернет.

Таких служб на самом деле немало, ниже перечислены некоторые рабочие в данный момент:

tempsms.ru
onlinesim.ru/sms-receive
5sim.net/free
getfreesmsnumber.com/#
receive-a-sms.com
receive-sms.com
sms.sellaite.com/index.php#phone_list
receive-sms-online.com
receivesmsonline.com
receivefreesms.com
smsreceivefree.com
www.receivesmsonline.net

Суть работы этих служб проста: пользователю предоставляется некоторый номер и базовый веб-интерфейс, отображающий поступающие на этот номер смс-сообщения в реальном времени.



Возможен выбор номеров различных стран, наиболее популярны США, РФ, Великобритания и Канада, хотя любители экзотики могут воспользоваться телефонами, например, Филиппин или Бразилии.



Для пользования бесплатными номерами сервисы не требуют регистрации и абсолютно анонимны. Если же пользователь желает получить номер, который не будет отображаться всем, за это придётся заплатить. Цена зависит от срока аренды номера и кода страны — и может варьироваться в очень широких пределах от пары сотен рублей до $30 и выше.

Понятно, что рядовой пользователь, который не желает «светить» свой номер и получать спам в виде смс, одновременно недооценивает безопасность и пользуется бесплатными, временными и публично доступными услугами. Обычно, это мотивируется «для восстановления пароля мне хватит и электронной почты», «я всё равно не буду этим пользоваться» и т.д.

Риски и описание атаки


Риски в описанной ситуации очевидны: злоумышленник может читать смс, как и любой иной посетитель сайта бесплатных номеров. Это значит, что потенциально на странице учётной записи может быть инициирована процедура восстановления пароля по отправке кода на привязанный номер телефона — после чего доступ легко получается.

После получения доступа злоумышленник может уже легко изменить адреса электронной почты и номер телефона, и таким образом полностью завладеть учётной записью жертвы.



Поскольку обновление списка бесплатных номеров производится иногда довольно редко — раз в несколько месяцев — злоумышленник может найти много довольно интересной информации, накопленной жертвой за этот период.

Наш небольшой анализ


Мы попробовали воспользоваться указанным механизмом и получить доступ к некоторым учётным записям.

Мы обнаружили следующие основные случаи применения бесплатных служб смс с возможностью получения доступа.

  • Социальные сети и службы знакомств. В этом случае доступ получить достаточно легко, особенно если пользователь не установил дополнительную проверку безопасности. Следует сказать, что большинство учётных записей использовались для мошенничества и были заблокированы, однако в ряде случаев — они были вполне используемыми, иногда даже с активированными платными услугами. Особенно в этом случае уязвимы пользователи служб знакомств, например, Мамба, поскольку дополнительной безопасности на этих ресурсах попросту не предусмотрено, а переписка содержит достаточно много деликатной информации, которая может легко быть использована для шантажа.
  • Регистрация Viber, WhatsApp и т.д. Несмотря на очевидность того, что после «устаревания» бесплатного номера пользователь легко может потерять доступ к своей учётке, мы обнаружили достаточно много активно используемых учётных записей. Риски в этом случае совершенно аналогичны социальным сетям — вся деликатная переписка, а также фото могут стать добычей злоумышленника.
  • Использование различных интернет услуг. Очень часто на номер высылались логин и пароль, а потому доступ получался абсолютно без проблем. Мы не ставили задачу побить рекорд по количеству денег на сервисах, более того — мы не воспользовались ни единой копейкой, однако деньги были:
  • Мошеннические действия. Особенно в этом плане порадовали таксисты: подавляющее количество учёток, которые были получены с помощью бесплатных виртуальных номеров и проверены нами, соответствовали водителям, но не пассажирам. Это нам показалось логичным: вряд ли пассажир захочет, чтобы водитель к нему не дозвонился, а вот водитель очень часто набирает с другого номера, «потому что телефон сел» и т.д. Такие схемы позволяют заново обнулять рейтинг, пользоваться несколькими автомобилями и т.д.

    Также мы отметили массу смс, связанных с оформлением кредитных карт, получением займов и т.д.
  • Оформление полисов страхования, карт программ лояльностей и т.д.

Выводы


По-видимому, пользователи недостаточно осознают критичность использования бесплатных виртуальных номеров для регистрации различных учётных записей и прочих услуг. Это может быть как-то объяснено в случаях, когда номер используется для тестирования такой регистрации (хотя сам процесс тестирования не может быть удобным, поскольку любой может «угнать» полученную таким образом учётку и прервать ход работ), но никак не может быть оправдано в случаях, когда такая регистрация будет серьёзно использоваться впоследствии.

Забавно, что несмотря на то, что многие службы проверяют привязку номера к VoIP-сервисам (так, например, не удастся зарегистрироваться с помощью номеров, привязанных к Google Voice / Hangouts), но нам неизвестна такая проверка привязки к бесплатным виртуальным номерам — хотя такую проверку легко можно было бы осуществить простым звонком на номер.

Это касается не только социальных сетей, но и банковских и кредитных организаций — безусловно, в них используются и другие методы проверок, но в плане бесплатных служб смс — полная брешь.

Комментарии (4)


  1. altervision
    24.01.2018 10:08

    Службы виртуальных номеров в большинстве случаев изначально используются для регистрации различных не совсем законных аккаунтов. Спам, мошенничество, назойливая реклама и всё в таком духе. Судя по сайтам знакомств, ещё и различные виды измен.
    Получается, нет совершенно никакого смысла в дополнительных мерах защиты информации, раз сервисы и так применяются не для самых честны дел.


    1. gjf Автор
      24.01.2018 11:00

      Ну скажем так — на 80% — скажем так: нечестного использования, примерно 20% нормального.
      Так что Вы немного не правы.


  1. delimer
    24.01.2018 16:23

    Не везде всё так плохо. К примеру, для восстановления доступа к вк требуется помимо телефона еще и знание фамилии. Таким образом не так уже просто получить доступ к чужому вк.


    1. gjf Автор
      24.01.2018 16:24

      Я где-то в статье упомянул, что везде?