Что предпринять, если вы стали получать SMS с кодами безопасности от разных онлайн-сервисов. В новом материале Hi-tech.mail.ru мы расскажем, как позаботиться о своей цифровой гигиене и обезопасить себя от взлома.
Метод аутентификации, при котором пользователю необходимо подтвердить вход с помощью одноразового кода, принято называть OTP (One Time Password). В основу любого OTP заложен принцип, согласно которому генерируемый в SMS пароль должен быть действителен только для одной сессии.
С одной стороны это многократно повышает устойчивость онлайн-ресурсов к атаке в сравнении с традиционными статическими паролями. С другой стороны, повсеместное введение OTP привело к тому, что в последнее время пользователи стали массово сталкиваться с SMS-ками, приходящими на телефон без соответствующих запросов. Как защититься от таких запросов и в каких случаях бить тревогу?
Утечка паролей
Первая причина, почему на ваш телефон могут приходить SMS, требующие код подтверждения — это утечка или кража паролей. Одним из наиболее известных методов, которым пользуются злоумышленники для этих целей, является метод так называемой брутфорс-атаки.
СМС «DiDi: Ваш код подтверждения…» — что это такое?
Используя систематический перебор всех возможных комбинаций символов с помощью методов криптографии, хакеры подбирают пароль и крадут данные аккаунта. После этого найденную комбинацию с помощью специальных скриптов проверяют на всех возможных сайтах.
Беспечные пользователи часто грешат тем, что используют один и тот же пароль на разных ресурсах. В результате часто становятся жертвами угона сразу нескольких своих аккаунтов, а из тех сервисов, где данные были дополнительно защищены двухфакторной аутентификацией, на телефон начинают лететь множественные SMS-ки.
Как защититься?
Не использовать одинаковый пароль на разных ресурсах. В случае получения SMS из тех сервисов, где вы точно зарегистрированы, в первую очередь следует авторизоваться там со своими данными и сразу же изменить пароль на более надежный.
При составлении нового пароля избегать простых последовательностей и распространенных символов, не использовать даты рождения и клички животных, а также помнить, что чем длиннее ваш пароль, тем надежнее он защищен. После этого не помешает также проверить его надежность с помощью одного из специальных сервисов. Более подробно о том, как это сделать, читайте в одном из наших прошлых материалов.
Создание баз номеров
Другой возможный сценарий, после которого пользователи начинают получать каскад из SMS-ок — это сбор информации. Работает схема следующим образом. Злоумышленники запускают специальный скрипт, который прогоняет случайные номера телефонов по разным сервисам, отправляя запросы на восстановление пароля. Если в систему приходит ответ, что на вбиваемый номер был отправлен код безопасности, скрипт понимает, что пользователь зарегистрирован на проверяемом сайте, и его номер вносится в базу. Остальные номера отсеиваются.
В дальнейшем такие базы могут использоваться брокерами данных в рекламных целях или для других видов агрессивного маркетинга. Например, если скрипт «разведал», что вы являетесь пользователем какого-то определенного интернет-магазина, на следующий день вы можете внезапно получить «Вау-предложение» из ресурса со схожей тематикой. То же самое касается звонков от псевдосотрудников банков, которые, получив информацию о вашей причастности к определенной финансовой системе, уже на следующий день могут попытаться выманить у вас данные ваших платежных карт.
БЕСКОНЕЧНЫЙ СМС ФЛУД или методы борьбы с коллекторами
Фото: Unsplash
Как защититься?
К сожалению, защититься от такой SMS-атаки практически невозможно. Единственный совет — установить на телефон один из сервисов для проверки входящих звонков, блокировать любые сомнительные предложения в мессенджерах и ни в коем случае не передавать коды безопасности третьим лицам. В противном случае вы рискуете стать жертвой мошенников.
Мошеннические схемы с получением займа
Что делать, если если вы никогда не регистрировались в сервисе, а SMS с него все равно летят нескончаемым потоком? Если вы впервые видите название сервиса, с которого пришло SMS с кодом безопасности, значит кто-то пытается создать новый аккаунт на ваш номер телефона. Повезет, если кто-то вбил ваш номер по ошибке. Такое одноразовое сообщение можно просто проигнорировать. Но если вы начали получать целый поток SMS, скорее всего это дело рук мошенников.
Действуют обычно следующим образом. Сначала злоумышленники приобретают слитую базу с номерами телефонов и паспортными данными. Купить такую базу в интернете сегодня — не проблема. Затем номера телефонов регистрируют в десятках различных сервисов. Но нужно это лишь для маскировки и отвода глаз.
Настоящая же цель злодеев — зарегистрировать жертву на сайтах микрофинансовых организаций, поддерживающих подтверждение аккаунта с помощью кода безопасности из SMS.
После этого с жертвой связываются посредством любого из мессенджеров и входят в доверие. Мошенники могут представиться такими же потерпевшими от SMS-бомбинга или работниками службы безопасности МФО, заметившими подозрительную активность. Это уже не так важно. В любом случае вам пообещают быстро во всем разобраться. Целью же такой переписки является получить от вас скрин экрана страницы с входящими сообщениями, где среди всего прочего находится заветный код доступа на сайт МФО.
Напуганного человека проще застать врасплох, поэтому как правило, ничего не подозревающая жертва отправляет нужную информацию мошеннику, а дальше все происходит, как по нотам. Злоумышленники оформляют кредит и испаряются. Реальные деньги из МФО уходят на карту мошенника, а жертву впоследствии ждут звонки сначала из МФО, а потом и из коллекторской компании с «просьбами» погасить долг.
Фото: Unsplash
Конечно, большую сумму займа таким способом оформить на жертву вряд ли получится. В крупных МФО каждая заявка на получение займа проходит специальную скоринговую систему, которая включает в себя антифрод-модель. Чего не скажешь о более мелких компаниях, некоторые из которых до сих пор позволяют оформить небольшой микрозайм по одному документу.
Как защититься?
Не поддаваться панике и никогда не пересылать скриншоты незнакомцам. Несмотря на то что у многих людей сегодня уже выработался иммунитет на отправку кодов безопасности из SMS, в данной схеме механизм обмана выглядит хитрее прочих. Мошенники не просят отправить им коды, а просят прислать лишь скрин страницы с SMS. К сожалению, многие сервисы отправляют SMS, в которых код «зашит» в самом начале сообщения, поэтому его можно увидеть даже на экране предпросмотра, не заходя внутрь самой SMS-ки.
Это тоже интересно:
- Заряжать разряженный телефон нельзя. И вот почему
- Как снизить температуру смартфона с помощью скрытой настройки
- Почему нельзя заряжать телефон, лежа в ванной
Источник: hi-tech.mail.ru
Странные коды подтверждения
Решила зарегистрироваться в приложении Алиэкспресс. Ввожу свой номер. Приходит сообщение от номера телефона начинающегося на +7901 с текстом в 6 цифр (обычно на Алиэкспресс мне писали что-то по типу «Код подтверждения для авторизации на Алиэкспресс ******», а тут просто номер. Подумала мол подожду отправлю во второй раз.
Второй раз написала номер и приходит сообщение от iATSMS с текстом «【Aliexpress】Поверочный код 629104. Действителен в течение 15 минут», думаю что за х7*ня происходит. Жду уже третий раз чтобы отправить код подтверждения на номер и приходит уже от имени Aliexpress.
вот думаю- это норм что присылают коды с разных номеров и иногда даже с каких-то обычных номеров от симок?
Голосование за лучший ответ
Источник: otvet.mail.ru
Подозрительно: массовые смс с кодами активации от разных сервисов
С десятка номеров пришли однотипные смс, одно за другим — «Ваш код подтверждения…»:
Некоторые сообщения продублировались утром и вечером. Что это может быть?
Анна, кто-то мог отправить смс и вручную, вводя ваш номер на разных сайтах. Но более вероятно, что это работа автоматического скрипта — программного кода, который выполняет действия по заранее заданному алгоритму.
Георгий Шабашев
Попробую разобраться, чего хотел автор этого скрипта. Некоторые варианты выглядят безобидно, другие в будущем могут стоить вам денег. Вот что приходит на ум:
- над вами подшутил кто-то из знакомых;
- ваш телефон внесли в базу номеров;
- мошенник попытался зарегистрировать аккаунт на ваш номер;
- ваши пароли украли и попытались использовать;
- от вас хотят скрыть важное сообщение.
Обычная шутка
Начну с самого безобидного. Кто-то из знакомых, знающих ваш номер, решил ради шутки завалить ваш телефон сообщениями. Это делают с помощью программ, которые называются « смс-бомберы », или « смс-флудеры ». Не знаю, почему некоторые считают это смешным, но шутка достаточно популярная.
Как защититься. Если не планируете пользоваться сервисами, от которых пришли сообщения, просто заблокируйте имена отправителей.
Самозащита от мошенников
Рассказываем о приемах, которые помогут не потерять деньги
Создание баз номеров
Другая возможная цель такого скрипта — сбор информации. Скрипт пытается восстановить пароль на разных сервисах. Если процесс запустился, аккаунт с таким телефонным номером существует. Его вносят в базу номеров.
Использовать базу могут как угодно. Например, статистику о владельцах дисконтных карт одной торговой сети передадут в другую — и вы начнете получать от них уведомления об акциях и скидках. Или через некоторое время вам позвонит «сотрудник банка» и попытается выманить данные карты.
Как защититься. Существуют сервисы, которые подменяют телефонные номера, поэтому доля паранойи не помешает. Если вам звонят и просят срочно назвать три цифры с обратной стороны карты, чтобы заблокировать списание денег, не верьте — даже если это звонок с номера банка, указанного на карте. Положите трубку и перезвоните в банк.
Еще вариант защиты — завести отдельную симкарту для регистрации на сайтах и больше нигде ее не использовать. Если на этот номер позвонят или напишут из банка, вы будете точно знать, что это мошенник.
Расскажем, как уберечь свои деньги
От воров, хакеров и других нехороших ребят. Подпишитесь на рассылку, чтобы не пропустить важные статьи
Попытка регистрации с подбором кода
Для рассылки спама с разводом и «мусорной» рекламой мошенники обычно создают аккаунты на чужое имя или используют взломанные. Смс с кодами активации могут говорить о том, что ваши аккаунты пытаются взломать — или зарегистрировать новые на ваш номер телефона.
При регистрации сервисы отправляют на указанный номер мобильного код проверки. Вводя этот код, вы подтверждаете, что номер принадлежит вам и вы соглашаетесь с регистрацией. У мошенника нет вашего телефона, но он может попытаться подобрать присланный вам код.
Чем длиннее код, тем сложнее это сделать. Например, если код состоит из четырех цифр, существует 10 тысяч разных вариантов, а если из шести — вариантов уже миллион.
Скрипт можно научить проверять все эти варианты и автоматически вводить коды проверки один за другим — от 000000 до 999999. Здесь все зависит от защиты сайта: ограничивает ли он количество попыток, если ограничивает, то сколько их. И можно ли повторить процедуру с тем же номером через какое-то время.
Чем больше попыток дает сайт, тем выше вероятность, что скрипт успеет подобрать код и подтвердить «вашу» учетную запись без доступа к телефону и тексту смс. Например, в 2017 году на «Хабре» писали про угон аккаунтов одного каршеринга.
Многие сайты защищены хуже, чем кажется. Специально для этой статьи я написал небольшой скрипт и попытался с его помощью подобрать шестизначный код подтверждения одной социальной сети. На удивление, сайт разрешил моему скрипту ввести больше ста разных кодов подтверждения — и только после этого сказал, что я слишком часто пытаюсь это сделать, и попросил подождать 10 минут.
Я не стал перезапускать скрипт. Но даже за одну попытку вероятность подбора — 100 к 1 000 000, то есть 0,01%. Если перебрать 10 тысяч номеров, один из них удастся подтвердить. А если длина кода всего четыре символа, то при тех же условиях хватит ста номеров, чтобы подобрать код к одному из них и получить доступ к подтвержденному аккаунту. После этого можно рассылать с него спам от чужого имени.
Анна, вы написали, что сообщения приходили с определенными интервалами, утром и вечером. Это увеличивает вероятность того, что речь идет о подборе кода. Мошенник подождал предложенное сайтом время и снова запустил свой скрипт. Возможно, пытались взломать ваши аккаунты или зарегистрировать новые на ваш номер телефона.
Как защититься. К сожалению, гарантированной защиты от такого взлома нет. Не исключено, что мошеннику удастся подобрать код и активировать аккаунт. Отдельная симкарта для интернета не поможет: мошенник все равно сможет зарегистрировать аккаунт на основную. Тут все зависит от безопасности конкретного сайта.
Если какие-то сайты вам важны или у вас уже есть там аккаунт, попробуйте сменить пароль или написать в техподдержку и описать ситуацию. Возможно, ваш аккаунт заблокируют и создадут новый или предложат какой-то другой вариант.
Утечка паролей
Время от времени в руки злоумышленников попадают базы данных с паролями пользователей различных сервисов — из-за взломов, утечек и социальной инженерии. Пароль также могут украсть с помощью троянских программ или вирусов. Более того, вы сами могли нечаянно передать пароль мошенникам, например на поддельном сайте.
Если у вас одинаковый пароль на многих сайтах, это дополнительный риск. Узнав ваш пароль к одному сайту, мошенники получают доступ и к остальным. Проверяют это тоже с помощью скрипта, который вводит украденный у вас пароль на всех сайтах подряд. Где-то пароль не подойдет, где-то аутентификация двухфакторная — сначала надо ввести пароль, потом код из смс. Если пароль подошел на нескольких таких сайтах, то и сообщений будет много.
Дальше код подтверждения попытаются подобрать по уже описанной схеме.
Как защититься. Используйте для каждого сайта уникальный пароль. Это не так сложно, как кажется: например, добавьте к вашему обычному паролю несколько первых или последних символов из названия сайта. Так вы хотя бы защититесь от автоматического перебора, если мошенники украдут один из паролей.
Маскировка важного смс
Последний вариант, который мне показался возможным, — попытка скрыть какое-то важное сообщение. Возможно, злоумышленник украл данные вашей карты и не хотел, чтобы вы увидели смс о снятии средств. Поток сообщений отодвинет нужное на второй экран, и есть шанс, что вы его пропустите и не заблокируете карту вовремя. Надеюсь, это не ваш случай.
Как защититься. Внимательно проверяйте все пришедшие сообщения и блокируйте смс от ненужных сервисов. Так проще убедиться, что сообщение от банка о снятии крупной суммы или от мобильного оператора о замене симкарты не затерялось в спаме.
Если увидели что-то подозрительное, пишите. Возможно, кто-то пытается украсть ваши деньги.
Источник: journal.tinkoff.ru