Практически каждый второй номер телефона, выученный профессионалами Positive Technologies, уже использовался для регистрации разных аккаунтов, а более трети всех выученных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи, сообщили в пресс-службе компании.
Отмечается, что профессионалы выучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и кабинеты пользователей мобильных операторов. Приложения были разделены на несколько категорий: сайты компаний, интернет-магазины и аптеки, сервисы доставки еды и продуктов, маркетплейсы и соцсети. При проведении эксперимента использовались три вида SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белоснежные»), 50 приобретены через каналы в Telegram («серые»), еще 15 - арендованы через специализированные онлайн-сервисы (виртуальные).
На выходах удалось установить, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активными.
Исследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу - к банковским аккаунтам.
Только один из пяти операторов связи блокировал SIM-карты, обнаруживая активность экспериментаторов.
Кроме того, выяснилось, что два из пяти операторов при попытке входа в личный кабинет раскрывают Ф. И. О. человека, на которого оформлен номер.
При этом по конечным итогам эксперимента исследователи не выявили зависимости между потенциалом успешности авторизации и категорией SIM-карт («белоснежные», «серые», виртуальные).
Всего профессионалы подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов.
«Солар»: более 40% компаний хранят активными учетные записи уволенных сотрудников
Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, значит и в иных сервисах аккаунтов с этим номером не было.
«Как показал наш эксперимент, преступники могут начать использовать в атаках ваш прежний номер, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS как единственный второй фактор аутентификации и замену паролям при однофакторной аутентификации. При перемене номера телефона владельцы обязаны иметь возможность безопасно восстановить доступ к своим аккаунтам, ну а в формах регистрации, авторизации и восстановленья пароля не может отображаться информация о наличии пользователя с таким номером. Мобильным операторам необходимо заблаговременно уведомлять своих клиентов о блокировке номера по e-mail и по альтернативному номеру», - говорил руководитель отдела наилучших технологий Positive Technologies Николай Анисеня.
Пользователям эксперты советуют хранить доступ к своим номерам телефонов, ну а в случае утраты доступа - привязать аккаунты к другому номеру. Для критически важных приложений (мессенджеры, соцсети, онлайн-банки) необходимо дополнительно использовать земля и небо способ авторизации - например, через e-mail.
Специалисты рекомендуют также отказаться от входа через SMS, если это возможно, и настроить двухфакторную аутентификацию, используя генераторы одноразовых паролей.
Кроме того, рекомендуется держать при себе мобильным приложениям разрешение на чтение SMS-сообщений, никому не сообщать одноразовые пароли, ну а в случае подозрительной активности - обращаться в службу помощи приложения или оператора сотовой связи.
Фото: Freepik