Временный номер — борьба за безопасность?

Мы пользователи, и обычно хотим всего и сразу. Сначала нам нужна двухфакторная аутентификация для защиты наших аккаунтов, а ещё удобные оповещения на почту и по SMS. Потом мы ищем приватности и пытаемся уберечь свои телефоны и e-mail от спама.

В результате такого противоречия набрали популярность сервисы, где можно получить временный почтовый ящик или временный телефонный номер.

Последние заинтересовали аналитиков Digital Security. Некоторое время мы наблюдали за активностью на подобных сервисах и анализировали, для чего люди используют временные номера, и безопасная ли это вообще затея. (Спойлер: нет). Результатами наблюдений делимся в статье.

Disclaimer: ни один беспечный пользователь не пострадал (от наших рук). При подготовке материала специалисты Digital Security не нарушали приватность пользователей данных сервисов. Все сценарии атаки сконструированы на основании открытой информации и нашего профессионального опыта.

Итак, начнём. По запросам «временный номер», «телефонный номер онлайн», «бесплатный прием смс» и подобным в поиске выпадает множество сервисов, платных и бесплатных. Они могут выглядеть, например, так.

Далее вы можете «арендовать» номер и указать его по месту требования (при регистрации где-либо, оформлении заказа и т.д.). Для каждого из номеров доступен чат, где в режиме реального времени отображаются приходящие на него СМС. Например, так:

На первый взгляд выглядит довольно невинно, но давайте посмотрим глубже.

Большинство сообщений на временные номера — это коды подтверждения. Казалось бы, кому нужен мой код подтверждения? Код, действительно, бесполезен. Однако в сообщении также виден ресурс, к которому был привязан телефонный номер.

Это значит, что злоумышленник может попытаться получить доступ к аккаунту, нажав «забыл пароль». Многие ресурсы позволяют сменить пароль и отправляют СМС с кодом подтверждения всё на тот же номер.

Варианты дальнейшего развития событий самые разные: зайдя в учетную запись, можно увидеть конфиденциальную информацию (вроде адреса доставки посылки, данных привязанной банковской карты и т.д.). Или отменить совершенную покупку. Или потратить уже накопленные бонусные баллы. В любом случае довольно неприятно.

Кстати, некоторые ресурсы присылают по СМС не просто код подтверждения, а сам пароль от учетной записи. И злоумышленник опять-таки может украсть аккаунт, если сменит пароль на новый.

А вот и примеры подобных сообщений:

В практике Digital Security встречается разное, но, признаться, нас всё же удивило, что временные номера часто использовались для серьёзных вещей: оформления документов, совершения покупок и банковских операций.

Начнём с предоплаченных покупок в интернет-магазинах. Самое безобидное последствие — покупатель может упустить дальнейшие сообщения о статусе заказа. К тому же, иногда курьеры звонят по указанным номерам, чтобы уточнить место или согласовать время доставки, что будет затруднительно в данном случае. Но главный риск в том, что уже оплаченную покупку заберут раньше покупателя.

Нам попалось, например, такое сообщение:

Надеемся, оплаченный заказ на сумму почти 13 тысяч рублей дождался своего настоящего хозяина в DNS на Народном бульваре.

А вот кто-то оформил с помощью временного номера полис ОСАГО. Злоумышленник, отловивший такое сообщение, может зайти в личный кабинет и получить доступ к паспортным данным.

Далее несколько примеров взаимодействия с банками:

И напоследок мы обратили внимание на функциональность перевода по номеру телефона в мобильных банковских приложениях и решили кое-что проверить. Забив рандомные временные номера в своих приложениях, мы обнаружили, что да, есть банковские карты, привязанные к ним. Например:

Мария Р., вы разбиваете наши сердца. С уважением, сотрудники Digital Security.

К счастью, в банк-клиент нельзя войти, зная только лишь номер телефона. Однако оформлять карту на виртуальный номер, указывая при этом свои паспортные данные или любую другую чувствительную информацию, не стоит.

Итак, насколько страшно всё, что мы обнаружили? Зависит от того, кто и для чего использует номер. Преимущественно они пригождаются не для самых благородных дел.

Например, при регистрации ботов в немереном количестве для накрутки лайков. Для небольших махинаций — получить промокод/подписку за новую регистрацию, и для мошенничества посерьёзнее — привязать чужую бонусную карту к своему аккаунту и потратить бонусные баллы (многое было написано про взлом программы лояльности «Перекрёстка»).

Однако виртуальные номера «арендуют» и простые пользователи в своих вполне невинных целях. Количество утечек баз данных с номерами телефонов удручает, возможность перевыпустить сим-карту без ведома владельца — тоже давно не новость.

Поэтому нежелание светить свой реальный номер телефона вполне объяснимо, и подобные сервисы могут быть удобны. Регистрируйтесь с ними, если не боитесь потерять аккаунт или раскрыть важную информацию.

В противном случае безопаснее использовать свой настоящий номер телефона. Например, при регистрации в мессенджерах и соцсетях. Одни почтовые сервисы и мессенджеры идентифицируют временный номер как ненадёжный и блокируют его, а другие легко предоставляют доступ к уже зарегистрированной учетной записи.

Поэтому любые ресурсы, где хранится личная информация о вас, не лучшее место для использования общедоступных номеров. Мобильный банк также должен быть привязан к настоящему номеру телефона.

Мы понимаем, что большинство пользователей, используя данные сервисы, не предполагают всех возможных последствий. Надеемся, что наш материал заставит задуматься о них и осознанно использовать либо свои настоящие контактные данные, либо же «арендованные».

#номер #данные