Более трети б/у телефонных номеров, которые использовались владельцами для регистрации аккаунтов в сервисах и соцсетях, были скомпрометированы. Такие сим–карты распространяются на чёрном рынке.
Телефонные номера, которые перестали использоваться владельцами, через какое–то время могут быть проданы другим пользователям. Зачастую россияне забывают "отвязать" свой номер от аккаунтов в соцсетях и приложениях. Это ведёт к большим рискам.
Ключ от аккаунта
Более трети подобных проанализированных сим–карт потенциально позволяют пройти аутентификацию в различных сервисах и приложениях, сообщают аналитики Positive Technologies. Почти каждый второй телефонный номер, проверенный экспертами, ранее использовался для создания аккаунтов, а более трети сим–карт предоставляют возможность входа в активные учётные записи, созданные другими пользователями.
В ходе исследования были изучены 38 популярных приложений (за исключением тех, что не имеют веб–версий) и личные кабинеты мобильных операторов. Проверенные приложения делились на разные категории: корпоративные сайты, интернет–магазины, аптеки, платформы доставки еды, маркетплейсы и социальные сети. Тест проводился с тремя видами сим–карт от пяти операторов: 30 куплены в салонах (белые), 50 приобретены через telegram–каналы (серые) и 15 арендованы в интернете (виртуальные).
Выяснилось, что 43% сим–карт ранее использовались для регистрации в приложениях и на 37% из них аккаунты оказались активными. Исследователям удалось подтвердить доступ к четырём аккаунтам на маркетплейсах, но не было получено доступа к банковским профилям.
Только один из пяти операторов блокировал сим–карты при активности исследователей. Также два оператора раскрывали ФИО владельца при попытке входа в личный кабинет. По итогам анализа не выявлено зависимости между типом сим–карт и вероятностью успешной авторизации. Всего удалось подтвердить доступ к 57 аккаунтам бывших владельцев номеров. Также исследователи заметили, что если номер не использовался для соцсетей, то он не фигурировал и в других сервисах.
Обновлённая старая симка
“
"Один из самых популярных способов для злоумышленника заполучить сим–карту — купить серую, оформленную на подставное лицо. Предложений на чёрном рынке довольно много. Процесс авторизации в приложениях и соцсетях проходит с помощью старого номера точно так же, как это происходит с любой новой сим–картой", — комментирует руководитель отдела перспективных технологий Positive Technologies Николай Анисеня.
Атакующий может воспользоваться формой входа по номеру телефона и кодом из СМС либо формой восстановления пароля, где также требуется только номер телефона и код из СМС. По статистике Positive Technologies, такой вход реализован в 38 из 80 популярных приложений.
В Positive Technologies отмечают, что злоумышленники могут использовать бывшие номера телефонов для атак, как только номера возвращаются в продажу. Разработчикам рекомендуется не полагаться на СМС как единственный фактор для восстановления паролей, а операторам — оповещать клиентов о блокировке номеров через email или альтернативные номера.
Цифры плюс буквы
“
"Хорошо, что кто–то на рынке наконец начинает говорить про опасности авторизации через СМС и использование телефонных номеров как способа авторизации. Конкретную сим–карту можно деактивировать. Проблема в другом — в продажу поступает новая сим–карта с номером, который уже бывал в употреблении. Этому способствует сама система, когда допускается повторное использование телефонных номеров", — обращает внимание телеком–аналитик, ведущий telegram–канала @abloud62 Алексей Бойко.
Эксперт считает, что следовало бы перейти на более многоразрядные номера либо добавить к цифрам возможность использования также букв и всякий раз выдавать при очередном подключении человека к сети новый уникальный номер.
"Нет проблемы использования “старых” сим–карт, есть проблема использования бывших в употреблении телефонных номеров. Меры принимают только банки — они, как правило, сравнивают данные сим–карты и номера. И если видят, что данные сим–карты изменились, то могут не давать доступа к счёту прежнего владельца номера", — добавляет Бойко.
Основатель российского технологического стартапа Unisimka Анна Кашницкая отмечает, что проблема обусловлена не тем, что активная сим–карта ранее принадлежала другому владельцу, а тем, что операторы сотовой связи стараются максимально эффективно использовать номерную ёмкость. Некоторые пользователи приобретают сим–карту для кратковременного пользования, после чего прекращают оплату и перестают пользоваться услугами.
“
"Операторы связи “отвязывают” такие номера от карт и отправляют в базу, где хранятся все неактивные номера. Спустя некоторое время они снова используют эти номера в новых сим–картах, которые появляются в продаже. Подобная ситуация применима как к пластиковой сим–карте, так и к eSIM. Мы рекомендуем пользователям избегать использования номеров в каких–либо сервисах дольше, чем планируется поддерживать в работоспособном состоянии сим–карту с номером", — подчёркивает Анна Кашницкая.
На стороне абонента
В пресс–службе Т2 рассказали, что при неиспользовании в течение 180 дней номер попадает в специальный резерв, из которого высвобождается для новых продаж только по истечении периода заморозки. За 12 дней до даты прекращения договора абонент получает СМС с напоминанием о прекращении обслуживания и необходимости отвязать номер от банковских и иных сервисов.
"В начале года мы запустили дополнительную двухфакторную авторизацию при входе в личный кабинет в связке с почтой по желанию клиента. Мы также реализовали уникальный контур защиты: проводим техническую сверку на предмет того, что фактически замена сим–карты на eSIM производится с одного и того же номера и с одного устройства. У нас есть три степени защиты при замене сим–карты на eSIM: уникальный код при входе в ЛК, пароль от “Госуслуг”, СМС–код в конце для подтверждения операции. Важный барьер на пути мошенника: T2 на 24 часа блокирует входящие СМС после замены карты, чтобы не дать возможность мошенникам вывести денежные средства с карт", — отметили в Т2.
В "МегаФоне" рассказали, что если клиент не пользуется сим–картой, то в срок от 90 до 180 дней при нулевом или отрицательном балансе договор считается расторгнутым по инициативе абонента, услуги связи блокируются и оператор впоследствии вправе передать номер другому абоненту. Но даже в случае, когда услуги связи заблокированы и договор расторгнут, абонент может обратиться к оператору и попробовать восстановить номер. Если его ещё никто не купил — номер легко вернуть, придя в салон связи с паспортом.
"“МегаФон” активно взаимодействует с государственными и коммерческими структурами для недопущения мошеннического использования сим–карт, поступающих в повторную продажу. Тем не менее мы рекомендуем при смене или отказе от использования номера сразу актуализировать информацию в личных кабинетах различных сервисов, в первую очередь в “Госуслугах” и аккаунтах финансовых организаций, а также удалять устаревшие аккаунты, чтобы злоумышленники не смогли получить к ним доступ", — добавили в пресс–службе компании.
Генеральный директор Telecom Daily Денис Кусков обращает внимание, что подавляющее число россиян предпочитает всё же сохранить свой номер телефона и просто сменить оператора, а не отказываться от него полностью.
“
"Были случаи с выгодными промотарифами. Люди пользовались сим–картами на этих тарифах несколько месяцев, а затем сдавали их обратно. В результате они попадали в фильтр и через 6 месяцев снова выходили в продажу. За последние 5 лет промотарифов было огромное количество — это номера, которые переходили из рук в руки. Поэтому свой номер лучше всегда сохранять", — подчёркивает Кусков.
Специалисты Positive Technologies также советуют пользователям поддерживать доступ к своим номерам, а при утрате — перенести учётные записи на новый номер. Важные приложения — мессенджеры, соцсети и онлайн–банки — лучше защищать двухфакторной аутентификацией и генераторами одноразовых паролей. Также рекомендуется ограничить приложениям доступ к СМС, не сообщать коды другим лицам и при подозрениях на злоупотребление обращаться в службу поддержки.
