• Главная
  • Карта сайта
Не найдено

Угон онлайн-акаунтів через злом голосової пошти

  1. Як зламати PayPal і WhatsApp через голосову пошту
  2. Як захиститися від злому з використанням голосової пошти?

Хто в наш час користується голосовою поштою? Перша відповідь, яка напевно всім приходить в голову, - «так ніхто». Але ця відповідь одночасно і правильний, і неправильний: з одного боку, у справі голосовою поштою дійсно давно вже ніхто не користується. З іншого боку, у багатьох абонентів стільникового зв'язку є голосова пошта - і вона продовжує справно працювати, навіть якщо в неї вже кілька років не заходили. Хто в наш час користується голосовою поштою

Нарешті з третьої сторони, не факт, що вашій голосовою поштою не користується хтось інший. У доповіді « Компрометація онлайн-акаунтів через злом голосової пошти »На DEF CON 26 дослідник Мартін Віго (Martin Vigo) продемонстрував, що голосова пошта може зацікавити тих, хто хоче зламати ваші онлайн-акаунти.

Справа в тому, що більшість операторів дозволяє входити в голосову поштову скриньку не тільки з вашого телефону, але і з чужого - у всіх операторів є спеціальний номер доступу до голосової пошти, на який може зателефонувати будь-хто. При цьому потрібно ввести номер вашого телефону та ПІН-код. Ось тільки ці ПІН-коди не дуже-то безпечні. Значна частина абонентів використовує коди, встановлені оператором за замовчуванням, - зазвичай це або останні цифри телефонного номера, або щось зовсім просте начебто 1111 або 1234.

Більш того, навіть якщо абонент спромігся змінити ПІН-код, з великою ймовірністю його можна вгадати: як показує дослідження , Придумуючи цифрові коди, люди виявляються ще менш винахідливі, ніж придумуючи паролі.

По-перше, швидше за все, ПІН складається з чотирьох цифр, навіть якщо є технічна можливість зробити його довшим. По-друге, дуже багато хто використовує найпростіші комбінації з чотирьох однакових цифр або «зручні» комбінації на кшталт 1234, 9876, 2580 (середній вертикальний ряд на клавіатурі телефону) і тому подібного. Також дуже популярні ПІН-коди, що починаються на 19хх. Знання цих особливостей дозволяє значно прискорити злом голосової пошти.

Не обов'язково вручну перебирати всі комбінації - це можна зробити за допомогою скрипта, який дзвонить на загальний номер голосової пошти і в тональному режимі вводить різні комбінації. Все вищесказане робить злом голосової пошти справою не тільки реальним, але і не дуже ресурсномістких. "Ну і що? - скажете ви, - все одно в моїй голосової пошти немає нічого цінного ». Але насправді дещо цінне там дуже навіть може бути.

Як зламати PayPal і WhatsApp через голосову пошту

Справа в тому, що при скиданні пароля багато найбільших онлайн-сервіси в якості однієї з опцій пропонують зателефонувати вам на вказаний в профілі телефонний номер і продиктувати код підтвердження операції.

Завдання атакуючого зводиться до того, щоб підібрати ПІН-код від голосової пошти та дочекатися того моменту, коли телефон жертви виявиться вимкнений або поза зоною дії (наприклад, в режимі польоту). Після цього залишається ініціювати скидання пароля в онлайн-сервісі і вказати в якості варіанту підтвердження дзвінок, який буде переведений на голосову пошту.

В якості демонстрації Мартін Віго показав, як за допомогою даної техніки можна викрасти обліковий запис в WhatsApp.

На деяких онлайн-ресурсах процес підтвердження влаштований трохи інакше: сервіс передзвонює на прив'язаний до аккаунту номер телефону і для підтвердження просить ввести цифри, відображені на сторінці скидання пароля. Це можна обійти за допомогою нехитрого трюку - достатньо записати відповідні цим цифрам тони дзвінків в якості привітального повідомлення голосової пошти.

Один з онлайн-сервісів з такою системою підтвердження - PayPal. Мартіну Віго вдалося зламати і його:

Це просто пара прикладів - насправді сервісів, які використовують голосовий дзвінок на прив'язаний номер телефону для підтвердження скидання пароля або для передачі одноразового коду двофакторної аутентифікації, набагато більше.

Як захиститися від злому з використанням голосової пошти?

  • Подумайте про те, щоб зовсім відключити голосову пошту - практичної користі від неї все одно небагато.
  • Якщо голосова пошта вам все ж потрібна, принаймні використовуйте надійний ПІН-код. По-перше, його довжина повинна бути більше чотири цифр. Чим довше - тим краще. По-друге, комбінація повинна бути неочевидній (В ідеалі - випадкової).
  • Не давайте кому попало телефонний номер, до якого прив'язані ваші облікові записи в онлайн-сервісах. Чим складніше зіставити вашу «електронну особистість» з телефонним номером - тим краще.
  • Намагайтеся не прив'язувати номер телефону до онлайн-сервісу, якщо це не є обов'язковою умовою або не потрібно для двофакторної аутентифікації.
  • обов'язково використовуйте двухфакторную аутентифікацію - в ідеалі додаток на зразок Google Authenticator або окремий пристрій на зразок Yubikey .

Хто в наш час користується голосовою поштою?
Ну і що?
Як захиститися від злому з використанням голосової пошти?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью