В ходе исследования, проведенного специалистами Positive Technologies, было установлено, что 43% "новых" номеров ранее уже использовалась для регистрации в различных онлайн-сервисах. Для 37% номеров удалось найти активный аккаунт хотя бы в одном из сервисов. Таким образом, найти незаблокированный аккаунт прежнего владельца получилось в каждом третьем случае. Среди тех номеров, которые ранее уже использовались для регистрации, в 27% была подтверждена возможность входа в аккаунты прежних владельцев.
Это связано с тем, что если по каким-то причинам пользователь перестает пользоваться номером телефона, то спустя некоторое время бездействия (как правило, от 60 до 365 дней, в зависимости от используемого оператора и выбранного тарифного плана) SIM-карта блокируется. А еще через какое-то время номер телефона вновь поступает в продажу, и его получает новый владелец.
При проведении исследования использовалось 100 приобретенных SIM-карт пяти российских операторов связи. 30 "белых" SIM-карт были куплены в салонах сотовой связи, 50 "серых" приобретены через каналы в Telegram, а виртуальные SIM-карты арендованы через специализированные онлайн-ресурсы. Также был составлен список из 80 популярных в России сервисов и приложений. Среди них 56 допускают вход по номеру телефона и коду подтверждения из SMS. Половина приложений требуют при этом ввести пароль, но позволяют сбросить его по коду из SMS.
Всего удалось подтвердить возможность доступа к 57 аккаунтам прежних владельцев номеров: интернет-магазинам, аптекам, сервисам доставки еды и продуктов, маркетплейсам и соцсетям.
С части номеров имелась возможность доступа сразу к нескольким аккаунтам. Однако, ни в одном из исследованных случаев не была подтверждена возможность доступа к банковскому аккаунту. Защита финансовых организаций ожидаемо оказалось самой надежной.
"Как показал наш эксперимент, злоумышленники могут начать использовать в атаках ваш прежний номер, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS как единственный второй фактор аутентификации и как замену паролям при однофакторной аутентификации", - отмечает Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies.
Руководитель направления по перспективным ИБ-решениям компании "Системный софт" Егор Петров подтвердил "РГ", что использование SMS для однофакторной аутентификации (только по коду, присланному в SMS) в интернет-сервисах и магазинах - очень распространенная практика, так как SMS-сообщения доступны практически всем пользователям мобильных телефонов, что делает этот метод максимально простым в использовании.
"Интернет-сервисы и магазины действительно в последнее время часто используют SMS как замена пароля, потому что SMS кажутся более простым и удобным методом для пользователей, чем создание и запоминание паролей. Таким образом мы уходим от проблемы одинаковых паролей на нескольких сайтах, создания простых и предсказуемых паролей, их записи на листочке и других сложностей. Согласно исследованиям, большинство пользователей используют одинаковые пароли для всех сервисов", - подтверждает владелец продукта "Стингрей" компании AppSec Solutions Юрий Шабалин, но отмечает, что с точки зрения безопасности, одни лишь SMS не являются "серебряной пулей".
По его мнению, их сложно назвать серьезным фактором аутентификации, особенно если SMS приходит на то же самое устройство, с которого проводится вход (особенно для мобильных приложений). Завладев устройством, злоумышленник может без проблем попасть в личный кабинет пользователя.
Такое же мнения высказал "РГ" и Егор Петров, отметив, что SMS больше не считается надежными методом аутентификации, так как SMS-сообщения могут быть перехвачены злоумышленниками с помощью специального оборудования или социальной инженерии, а при отсутствии мобильной связи, наличии проблем на стороне оператора или SMS-шлюза пользователь не сможет получить код подтверждения.
"Развитие технологий привело к появлению более надежных методов аутентификации, таких как аутентификаторы на основе приложений, биометрия. Современным сервисам следует предлагать пользователям более безопасные и удобные способы защиты своих аккаунтов, такие как комбинация нескольких факторов аутентификации, например пароль + аутентификатор на основе приложения + биометрические данные", - считает Петров.
Тем не менее значительная часть интернет-сервисов продолжает использовать простую однофакторную аутентификацию.
Шабалин считает, что одной из причин, по которой многие интернет-сервисы или магазины не внедряют двухфакторную аутентификацию, является стремление к повышению удобства для пользователя. "Для сервисов важно, чтобы процесс авторизации был как можно проще и не отпугивал потенциальных клиентов необходимостью выполнения дополнительных шагов. Это особенно актуально для коммерческих сервисов, таких как интернет-магазины, где любое усложнение процесса входа может повлиять на конверсию", - отмечает эксперт.
Однако, по его мнению, уязвимости связанные с повторно используемыми телефонными номерами, имеют достаточно высокую степень риска: "Эта проблема не нова. Еще лет 8 назад боролись с этим явлением, но проблема на сегодняшний день стала только острее. И в этом играет довольно большую роль влияние и политика операторов, которые возвращают мобильные номера в продажу гораздо быстрее, чем раньше. Несколько лет назад номера "отстаивались" в течении полугода, но на данный момент это время было уменьшено".
Опрошенные "РГ" эксперты настоятельно рекомендуют настроить двухфакторную аутентификацию, используя генераторы одноразовых паролей, такие как Google Authenticator, "Яндекс Ключ" и пр. А если это возможно в данном сервисе, отказаться от входа через SMS.
Если доступ к номеру телефона утрачен и нет возможности своевременно его восстановить, желательно как можно быстрее привязать аккаунты к другому номеру, к которому есть доступ.
Для критически важных приложений (мессенджеры, соцсети, онлайн-банки) необходимо, если это возможно, настроить альтернативный способ авторизации, например, через электронную почту, и никогда, никому ни при каких обстоятельствах не сообщать коды подтверждения для входа в аккаунт, приходящие через SMS или в приложения. Их могут запрашивать только мошенники.