Временный номер — борьба за безопасность?

Мы пользователи, и обычно хотим всего и сразу. Сначала нам нужна двухфакторная аутентификация для защиты наших аккаунтов, а ещё удобные оповещения на почту и по SMS. Потом мы ищем приватности и пытаемся уберечь свои телефоны и e-mail от спама.

В результате такого противоречия набрали популярность сервисы, где можно получить временный почтовый ящик или временный телефонный номер.

Временный номер — борьба за безопасность?

Последние заинтересовали аналитиков Digital Security. Некоторое время мы наблюдали за активностью на подобных сервисах и анализировали, для чего люди используют временные номера, и безопасная ли это вообще затея. (Спойлер: нет). Результатами наблюдений делимся в статье.

Disclaimer: ни один беспечный пользователь не пострадал (от наших рук). При подготовке материала специалисты Digital Security не нарушали приватность пользователей данных сервисов. Все сценарии атаки сконструированы на основании открытой информации и нашего профессионального опыта.

Итак, начнём. По запросам «временный номер», «телефонный номер онлайн», «бесплатный прием смс» и подобным в поиске выпадает множество сервисов, платных и бесплатных. Они могут выглядеть, например, так.

Временный номер — борьба за безопасность?

Далее вы можете «арендовать» номер и указать его по месту требования (при регистрации где-либо, оформлении заказа и т.д.). Для каждого из номеров доступен чат, где в режиме реального времени отображаются приходящие на него СМС. Например, так:

Временный номер — борьба за безопасность?

На первый взгляд выглядит довольно невинно, но давайте посмотрим глубже.

Больше, чем код

Большинство сообщений на временные номера — это коды подтверждения. Казалось бы, кому нужен мой код подтверждения? Код, действительно, бесполезен. Однако в сообщении также виден ресурс, к которому был привязан телефонный номер.

Это значит, что злоумышленник может попытаться получить доступ к аккаунту, нажав «забыл пароль». Многие ресурсы позволяют сменить пароль и отправляют СМС с кодом подтверждения всё на тот же номер.

Варианты дальнейшего развития событий самые разные: зайдя в учетную запись, можно увидеть конфиденциальную информацию (вроде адреса доставки посылки, данных привязанной банковской карты и т.д.). Или отменить совершенную покупку. Или потратить уже накопленные бонусные баллы. В любом случае довольно неприятно.

Кстати, некоторые ресурсы присылают по СМС не просто код подтверждения, а сам пароль от учетной записи. И злоумышленник опять-таки может украсть аккаунт, если сменит пароль на новый.

Пароли, присылаемые по СМС, мы советуем сразу менять в личном кабинете на собственные, даже если вы используете свой настоящий номер телефона

А вот и примеры подобных сообщений:

Временный номер — борьба за безопасность?
Временный номер — борьба за безопасность?
Временный номер — борьба за безопасность?
Временный номер — борьба за безопасность?

Ставки растут

В практике Digital Security встречается разное, но, признаться, нас всё же удивило, что временные номера часто использовались для серьёзных вещей: оформления документов, совершения покупок и банковских операций.

Начнём с предоплаченных покупок в интернет-магазинах. Самое безобидное последствие — покупатель может упустить дальнейшие сообщения о статусе заказа. К тому же, иногда курьеры звонят по указанным номерам, чтобы уточнить место или согласовать время доставки, что будет затруднительно в данном случае. Но главный риск в том, что уже оплаченную покупку заберут раньше покупателя.

Нам попалось, например, такое сообщение:

Временный номер — борьба за безопасность?

Надеемся, оплаченный заказ на сумму почти 13 тысяч рублей дождался своего настоящего хозяина в DNS на Народном бульваре.

А вот кто-то оформил с помощью временного номера полис ОСАГО. Злоумышленник, отловивший такое сообщение, может зайти в личный кабинет и получить доступ к паспортным данным.

Временный номер — борьба за безопасность?

Далее несколько примеров взаимодействия с банками:

Временный номер — борьба за безопасность?
Временный номер — борьба за безопасность?

И напоследок мы обратили внимание на функциональность перевода по номеру телефона в мобильных банковских приложениях и решили кое-что проверить. Забив рандомные временные номера в своих приложениях, мы обнаружили, что да, есть банковские карты, привязанные к ним. Например:

Временный номер — борьба за безопасность?

Мария Р., вы разбиваете наши сердца. С уважением, сотрудники Digital Security.

К счастью, в банк-клиент нельзя войти, зная только лишь номер телефона. Однако оформлять карту на виртуальный номер, указывая при этом свои паспортные данные или любую другую чувствительную информацию, не стоит.

Подведём итоги

Итак, насколько страшно всё, что мы обнаружили? Зависит от того, кто и для чего использует номер. Преимущественно они пригождаются не для самых благородных дел.

Например, при регистрации ботов в немереном количестве для накрутки лайков. Для небольших махинаций — получить промокод/подписку за новую регистрацию, и для мошенничества посерьёзнее — привязать чужую бонусную карту к своему аккаунту и потратить бонусные баллы (многое было написано про взлом программы лояльности «Перекрёстка»).

Однако виртуальные номера «арендуют» и простые пользователи в своих вполне невинных целях. Количество утечек баз данных с номерами телефонов удручает, возможность перевыпустить сим-карту без ведома владельца — тоже давно не новость.

Поэтому нежелание светить свой реальный номер телефона вполне объяснимо, и подобные сервисы могут быть удобны. Регистрируйтесь с ними, если не боитесь потерять аккаунт или раскрыть важную информацию.

В противном случае безопаснее использовать свой настоящий номер телефона. Например, при регистрации в мессенджерах и соцсетях. Одни почтовые сервисы и мессенджеры идентифицируют временный номер как ненадёжный и блокируют его, а другие легко предоставляют доступ к уже зарегистрированной учетной записи.

Поэтому любые ресурсы, где хранится личная информация о вас, не лучшее место для использования общедоступных номеров. Мобильный банк также должен быть привязан к настоящему номеру телефона.

Мы понимаем, что большинство пользователей, используя данные сервисы, не предполагают всех возможных последствий. Надеемся, что наш материал заставит задуматься о них и осознанно использовать либо свои настоящие контактные данные, либо же «арендованные».

11
15 комментариев

Сервис, привязанный к телефонному номеру не может быть безопасным по определению

11
Ответить

Те, кто такие номера к банковским аккаунтам привязывают, скорее всего сами кого хочешь обманут.

7
Ответить

Тут вы правы, обычно так и есть

Ответить

Обычно за деньги там можно арендовать и непубличный аккаунт. Но примеры приведенные в статье это явно номинанты на премию Дарвина. Не представляю кем надо быть, чтоб совершать через подобную помойку какие-то серьезные операции.

4
Ответить

К сожалению, люди часто не знают простых правил безопасности в сети, но сервисами пользуются. Так же, как и социальная инженерия у банковских мошенников по-прежнему отлично работает, фишинговые рассылки, мошенничества на торговых площадках типа Avito и список можно продолжать, хотя казалось бы, сколько уже было сказано и написано. Так что лучше лишний раз предостеречь

1
Ответить

А что за сервис на втором скриншоте?

Ответить