Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новое исследование Positive Technologies: более трети изученных SIM-карт дают возможность для попыток аутентификации в сервисах и приложениях

08/11/24

PT-Nov-08-2024-08-33-37-3618-AM

Практически каждый второй номер телефона, изученный специалистами в рамках нового исследования, уже использовался для регистрации различных аккаунтов, а более трети всех изученных SIM-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи.

Специалисты изучили 38 из 80 популярных приложений, исключив из начального списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения были разделены на несколько категорий: сайты компаний, интернет-магазины и аптеки, сервисы доставки еды и продуктов, маркетплейсы и соцсети. При проведении эксперимента использовались три вида SIM-карт пяти крупных операторов: 30 были куплены в салонах сотовой связи («белые»), 50 приобретены через каналы в Telegram («серые»), еще 15 — арендованы через специализированные онлайн-сервисы (виртуальные)[i].

Удалось установить, что 43% SIM-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов в сервисах из составленного списка, а для 37% номеров аккаунты были активнымиИсследователям удалось подтвердить возможность доступа к четырем аккаунтам на маркетплейсах, но ни разу — к банковским аккаунтам.

Только один из пяти операторов связи блокировал SIM-карты, обнаруживая активность экспериментаторов. Кроме того, выяснилось, что два из пяти операторов при попытке входа в личный кабинет раскрывают Ф. И. О. человека, на которого оформлен номер. При этом по итогам эксперимента исследователи не выявили зависимости между потенциалом успешности авторизации и категорией SIM-карт («белые», «серые», виртуальные).

Всего специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров телефонов. Исследователи также обнаружили, что если номер ранее не использовался для регистрации в социальных сетях, то и в других сервисах аккаунтов с этим номером не было.

«Как показал наш эксперимент, злоумышленники могут начать использовать в атаках ваш прежний номер, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS как единственный второй фактор аутентификации и замену паролям при однофакторной аутентификации. При смене номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам, а в формах регистрации, авторизации и восстановления пароля не должна отображаться информация о наличии пользователя с таким номером. Мобильным операторам необходимо заблаговременно уведомлять своих клиентов о блокировке номера по email и по альтернативному номеру», — сказал Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies.

 

 

Пользователям эксперты рекомендуют сохранять доступ к своим номерам телефонов, а в случае утраты доступа — привязать аккаунты к другому номеру. Для критически важных приложений (мессенджеры, соцсети, онлайн-банки) необходимо дополнительно использовать альтернативный способ авторизации — например, через email. Специалисты советуют отказаться от входа через SMS, если это возможно, и настроить двухфакторную аутентификацию, используя генераторы одноразовых паролей. Кроме того, рекомендуется не выдавать мобильным приложениям разрешение на чтение SMS-сообщений, никому не сообщать одноразовые пароли, а в случае подозрительной активности — обращаться в службу поддержки приложения или оператора сотовой связи.

 

[1] Для экономии времени экспериментаторы использовали устройство SIM-box на 8 SIM-карт, позволяющее принимать сообщения с паролями сразу на несколько номеров.

Темы:Исследованиесотовая связьSIM-картыPositive TechnologiesУгрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...