Практически каждый второй номер телефона, изученный специалистами в рамках нового исследования, уже использовался для регистрации различных аккаунтов, а более трети всех изученных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи. К таким выводам пришли эксперты Positive Technologies. Пользователям советуют привязывать профили к новому номеру при его смене или утрате.
Специалисты изучили 38 из 80 популярных приложений, исключив из списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения разделили на несколько категорий: сайты компаний, интернет-магазины и аптеки, сервисы доставки еды и продуктов, маркетплейсы и соцсети.
При проведении эксперимента использовались три вида SIM-карт: 30 были куплены в салонах сотовой связи («белые»), 50 – через каналы в Telegram («серые»), еще 15 — арендованы через онлайн-сервисы (виртуальные). Оказалось, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов, а для 37% номеров они были активными. Исследователям удалось подтвердить возможность доступа к аккаунтам на маркетплейсах, но ни разу – к банковским профилям.
Всего специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров. Выяснилось, что нет зависимости между потенциалом успешности авторизации и категорией SIM-карт.
«Как показал наш эксперимент, злоумышленники могут начать использовать в атаках ваш прежний номер, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS как единственный второй фактор аутентификации и замену паролям при однофакторной аутентификации. При смене номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам, а в формах регистрации, авторизации и восстановления пароля не должна отображаться информация о наличии пользователя с таким номером», – отмечает руководитель отдела перспективных технологий Positive Technologies Николай Анисеня.
Пользователям советуют сохранять доступ к своим номерам телефонов, а в случае утраты или смены – привязать аккаунты к другому номеру. Для критически важных приложений (соцсети, мессенджеры, онлайн-банки) лучше дополнительно использовать альтернативный способ авторизации, в том числе через email.
При этом эксперты рекомендуют отказаться от входа через SMS, если это возможно, и настроить двухфакторную аутентификацию, используя генераторы одноразовых паролей. Кроме того, лучше не выдавать приложениям разрешение на чтение SMS-сообщений и, конечно же, никому не сообщать одноразовые пароли.
Ранее Positive Technologies поделилась статистикой киберугроз. Беларусь заняла третье место в рейтинге стран СНГ, которые чаще всего подвергаются кибератакам. На ее долю приходится 7% нападений. Каждая пятая атака в Беларуси приходится на госсектор (22%). На втором месте – сфера промышленности (14%), а на третьей строчке – финансовая отрасль (11%).
Специалисты Positive Technologies помогают белорусским компаниям защититься от киберугроз и создать результативные центры кибербезопасности (SOC). Около 500 топ-менеджеров крупных компаний, представителей госсектора, руководителей и специалистов из сфер IT и информационной безопасности собрала в Минске конференция Positive SOCcon 2.0.