前に、ソーシャルリソースとアカウントを分析およびソートすることにより、個人の電話番号を取得する可能性について書きました 。
以下の小さなレビューでは、コインの裏側-SMSを受信するアクセスがある場合にインターネットリソースのアカウントをハッキングするリスク-たとえば、無料の仮想番号サービスを使用する場合を調べます。
はじめに
多くの場合、ユーザーは個人の電話番号を残したくないだけでなく、電話転送用の番号の購入や、インターネットで利用可能な無料サービスを使用したSMSの受信を節約できます。
実際にはこのようなサービスがたくさんありますが、現時点では次のような労働者がいます。
tempsms.ru
onlinesim.ru/sms-receive
5sim.net/無料
getfreesmsnumber.com/#
receive-a-sms.com
receive-sms.com
sms.sellaite.com/index.php#phone_list
receive-sms-online.com
receivemsonline.com
receivefreesms.com
smsreceivefree.com
www.receivesmsonline.net
これらのサービスの本質は簡単です。ユーザーには特定の番号と、この番号に到着したリアルタイムのSMSメッセージを表示する基本的なWebインターフェイスが提供されます。
さまざまな国から番号を選択できます。最も人気のあるのはアメリカ、ロシア連邦、イギリス、カナダですが、エキゾチックな愛好家は、たとえばフィリピンやブラジルなどの電話を使用できます。
フリーダイヤル番号を使用するには、サービスは登録を必要とせず、完全に匿名です。 ユーザーがすべての人に表示されない番号を取得したい場合は、料金を支払う必要があります。 価格はレンタル期間の数と国コードに依存します-そして、数百ルーブルから30ドル以上まで非常に広い範囲内で変化する可能性があります。
自分の電話番号を「シャイニング」してSMSの形でスパムを受信することを望まない一般ユーザーは、同時にセキュリティを過小評価し、無料、一時的、および公的に利用可能なサービスを使用します。 通常、これは「メールでパスワードを回復するのに十分」、「まだ使用しない」などの動機があります。
リスクと攻撃の説明
記載された状況でのリスクは明らかです。攻撃者は、無料番号のサイトを訪れた他の訪問者と同様にSMSを読むことができます。 これは、アカウントページで潜在的に、接続された電話番号にコードを送信することでパスワード回復手順を開始できることを意味します。その後、アクセスが簡単に取得されます。
攻撃者は、アクセスを取得した後、電子メールアドレスと電話番号を簡単に変更できるため、被害者のアカウントを完全に乗っ取ることができます。
フリーダイヤル番号のリストを更新することは、数ヶ月に一度という非常にまれな場合があるため、攻撃者はこの期間に被害者によって蓄積されたかなり興味深い情報をたくさん見つけることができます。
私たちの小さな分析
指定されたメカニズムを使用して、いくつかのアカウントにアクセスしようとしました。
アクセスの可能性がある無料のSMSサービスを使用する主なケースは次のとおりです。
- ソーシャルネットワークとデートサービス。 この場合、特にユーザーが追加のセキュリティチェックをインストールしていない場合、アクセスは簡単です。 ほとんどのアカウントは詐欺のために使用され、ブロックされたと言われるべきですが、場合によっては非常に使用され、場合によっては有効な有料サービスでも使用されました。 特にこの場合、 Mambaなどの出会い系サービスのユーザーは、これらのリソースに追加のセキュリティがまったくないため脆弱であり、通信には恐blackに簡単に使用できる多くの機密情報が含まれています。
- Viber、WhatsAppなどを登録します。 フリーダイヤル番号が「廃止」された後、ユーザーが自分のアカウントに簡単にアクセスできなくなることは明らかですが、多くのアクティブに使用されているアカウントが見つかりました。 この場合のリスクは、ソーシャルネットワークに完全に類似しています。すべてのデリケートな通信と写真は、攻撃者の餌食になる可能性があります。
- さまざまなインターネットサービスを使用する。 多くの場合、ログインとパスワードが番号に送信されたため、問題なくアクセスできました。 サービスの金額の記録を破るタスクを設定しませんでした。さらに、1ペニーも使用しませんでしたが、金額は次のとおりです。
- 詐欺。 特にこの点で、タクシーの運転手は喜んでいた。無料の仮想番号を使用して受け取った膨大な数の口座は、ドライバーではなく乗客に対応していた。 これは私たちにとっては理にかなっているように思われます。乗客がドライバーにドライバーに連絡しないことを望んでいることはほとんどありませんが、ドライバーはしばしば「電話がダウンしているため」別の番号からダイヤルします。 このようなスキームにより、評価を再度リセットしたり、複数の車を使用したりすることができます。
また、クレジットカードの取得、ローンの取得などに関連する多くのSMSにも注目しました。 - 保険証書、ロイヤルティプログラムカードなどの登録
結論
どうやら、ユーザーは無料の仮想番号を使用してさまざまなアカウントやその他のサービスに登録することの重要性を十分に認識していないようです。 これは、そのような登録をテストするために番号を使用する場合(この方法で取得したアカウントを「盗み」、作業の進行を中断できるため、テストプロセス自体は便利ではないかもしれませんが)何らかの方法で説明できますが、それは正当化できませんそのような登録がその後真剣に使用される場合。
多くのサービスがVoIPサービスへの番号のバインドをチェックするという事実(たとえば、Google Voice / Hangoutsに関連付けられた番号を使用して登録することはできません)にもかかわらず、無料の仮想番号へのバインドをチェックする方法がわかりません番号を呼び出すだけで簡単に確認できます。
これは、ソーシャルネットワークだけでなく、銀行や信用機関にも当てはまります-もちろん、他の検証方法も使用しますが、無料のSMSサービスの観点では、完全なギャップがあります。
