Мы пользователи, и обычно хотим всего и сразу. Сначала нам нужна двухфакторная аутентификация для защиты наших аккаунтов, а ещё удобные оповещения на почту и по SMS. Потом мы ищем приватности и пытаемся уберечь свои телефоны и e-mail от спама.
В результате такого противоречия набрали популярность сервисы, где можно получить временный почтовый ящик или временный телефонный номер.
Последние заинтересовали аналитиков Digital Security. Некоторое время мы наблюдали за активностью на подобных сервисах и анализировали, для чего люди используют временные номера, и безопасная ли это вообще затея. (Спойлер: нет). Результатами наблюдений делимся в статье.
Disclaimer: ни один беспечный пользователь не пострадал (от наших рук). При подготовке материала специалисты Digital Security не нарушали приватность пользователей данных сервисов. Все сценарии атаки сконструированы на основании открытой информации и нашего профессионального опыта.
Итак, начнём. По запросам «временный номер», «телефонный номер онлайн», «бесплатный прием смс» и подобным в поиске выпадает множество сервисов, платных и бесплатных. Они могут выглядеть, например, так.
Далее вы можете «арендовать» номер и указать его по месту требования (при регистрации где-либо, оформлении заказа и т.д.). Для каждого из номеров доступен чат, где в режиме реального времени отображаются приходящие на него СМС. Например, так:
На первый взгляд выглядит довольно невинно, но давайте посмотрим глубже.
Больше, чем код
Большинство сообщений на временные номера — это коды подтверждения. Казалось бы, кому нужен мой код подтверждения? Код, действительно, бесполезен. Однако в сообщении также виден ресурс, к которому был привязан телефонный номер.
Это значит, что злоумышленник может попытаться получить доступ к аккаунту, нажав «забыл пароль». Многие ресурсы позволяют сменить пароль и отправляют СМС с кодом подтверждения всё на тот же номер.
Варианты дальнейшего развития событий самые разные: зайдя в учетную запись, можно увидеть конфиденциальную информацию (вроде адреса доставки посылки, данных привязанной банковской карты и т.д.). Или отменить совершенную покупку. Или потратить уже накопленные бонусные баллы. В любом случае довольно неприятно.
Кстати, некоторые ресурсы присылают по СМС не просто код подтверждения, а сам пароль от учетной записи. И злоумышленник опять-таки может украсть аккаунт, если сменит пароль на новый.
Пароли, присылаемые по СМС, мы советуем сразу менять в личном кабинете на собственные, даже если вы используете свой настоящий номер телефона
А вот и примеры подобных сообщений:
Ставки растут
В практике Digital Security встречается разное, но, признаться, нас всё же удивило, что временные номера часто использовались для серьёзных вещей: оформления документов, совершения покупок и банковских операций.
Начнём с предоплаченных покупок в интернет-магазинах. Самое безобидное последствие — покупатель может упустить дальнейшие сообщения о статусе заказа. К тому же, иногда курьеры звонят по указанным номерам, чтобы уточнить место или согласовать время доставки, что будет затруднительно в данном случае. Но главный риск в том, что уже оплаченную покупку заберут раньше покупателя.
Нам попалось, например, такое сообщение:
Надеемся, оплаченный заказ на сумму почти 13 тысяч рублей дождался своего настоящего хозяина в DNS на Народном бульваре.
А вот кто-то оформил с помощью временного номера полис ОСАГО. Злоумышленник, отловивший такое сообщение, может зайти в личный кабинет и получить доступ к паспортным данным.
Далее несколько примеров взаимодействия с банками:
И напоследок мы обратили внимание на функциональность перевода по номеру телефона в мобильных банковских приложениях и решили кое-что проверить. Забив рандомные временные номера в своих приложениях, мы обнаружили, что да, есть банковские карты, привязанные к ним. Например:
Мария Р., вы разбиваете наши сердца. С уважением, сотрудники Digital Security.
К счастью, в банк-клиент нельзя войти, зная только лишь номер телефона. Однако оформлять карту на виртуальный номер, указывая при этом свои паспортные данные или любую другую чувствительную информацию, не стоит.
Подведём итоги
Итак, насколько страшно всё, что мы обнаружили? Зависит от того, кто и для чего использует номер. Преимущественно они пригождаются не для самых благородных дел.
Например, при регистрации ботов в немереном количестве для накрутки лайков. Для небольших махинаций — получить промокод/подписку за новую регистрацию, и для мошенничества посерьёзнее — привязать чужую бонусную карту к своему аккаунту и потратить бонусные баллы (многое было написано про взлом программы лояльности «Перекрёстка»).
Однако виртуальные номера «арендуют» и простые пользователи в своих вполне невинных целях. Количество утечек баз данных с номерами телефонов удручает, возможность перевыпустить сим-карту без ведома владельца — тоже давно не новость.
Поэтому нежелание светить свой реальный номер телефона вполне объяснимо, и подобные сервисы могут быть удобны. Регистрируйтесь с ними, если не боитесь потерять аккаунт или раскрыть важную информацию.
В противном случае безопаснее использовать свой настоящий номер телефона. Например, при регистрации в мессенджерах и соцсетях. Одни почтовые сервисы и мессенджеры идентифицируют временный номер как ненадёжный и блокируют его, а другие легко предоставляют доступ к уже зарегистрированной учетной записи.
Поэтому любые ресурсы, где хранится личная информация о вас, не лучшее место для использования общедоступных номеров. Мобильный банк также должен быть привязан к настоящему номеру телефона.
Мы понимаем, что большинство пользователей, используя данные сервисы, не предполагают всех возможных последствий. Надеемся, что наш материал заставит задуматься о них и осознанно использовать либо свои настоящие контактные данные, либо же «арендованные».
Сервис, привязанный к телефонному номеру не может быть безопасным по определению
Те, кто такие номера к банковским аккаунтам привязывают, скорее всего сами кого хочешь обманут.
Тут вы правы, обычно так и есть
Обычно за деньги там можно арендовать и непубличный аккаунт. Но примеры приведенные в статье это явно номинанты на премию Дарвина. Не представляю кем надо быть, чтоб совершать через подобную помойку какие-то серьезные операции.
К сожалению, люди часто не знают простых правил безопасности в сети, но сервисами пользуются. Так же, как и социальная инженерия у банковских мошенников по-прежнему отлично работает, фишинговые рассылки, мошенничества на торговых площадках типа Avito и список можно продолжать, хотя казалось бы, сколько уже было сказано и написано. Так что лучше лишний раз предостеречь
А что за сервис на втором скриншоте?
https://receive-smss.com/sms/
Спасибо.
I used https://www.receivesms365.com and that worked great for me, not as popular as smss so the numbers don't get used up quick.
Да, так называемые сервисы шеринга номера телефона (на которых предлагают ещё и некий заработок с использованием мультиплексора сим карт) часто сопровождаются похожими на анонимные действиями "кардеров".
К примеру, на таких сайтах часто всплывают смс с номеров известных банков.
Может быть я и не прав. Может и правда кто-то забыл номер и "скормил" свой ЛК на массовое "прочтение".
Это у вас фишка такая, рассказывать очевидные вещи?
Может че дельное запилите?
Это же отлично, что для вас эти вещи — очевидные, к сожалению, не для всех они таковы. Заходите в блог на Хабр, возможно, технический контент от наших исследователей и пентестеров, будет лично вам интереснее.
Комментарий недоступен
Тоже удивились. Большинство таких номеров используют для создания ботов. Но вы видите, например, скрин оплаченного и готового к получению заказа, и это был не единственный случай.
Да, да, временные виртуальные номера это находка для тех, кто не в теме. https://hottelecom.net/disposable-sms-number-of-russia.html тут беру на регулярной основе.