На прошлой неделе я получал явно фальшивые текстовые сообщения от Amazon. Будь то взлом, спам, мошенничество или что-то еще, я знаю, что они ненастоящие, но мне было интересно, откуда они взялись. Эта новость заставляет меня задуматься еще больше: SMS-сообщения можно перенаправить хакерам всего за 16 долларов.
Хакеры покупают доступ по SMS
Вы получаете ошибочные текстовые сообщения и понятия не имеете, откуда они? Компании, которым вы доверяете, возможно, предоставили хакерам доступ к вашим сообщениям, которые могут содержать личные данные.
Репортер Motherboard Джозеф Кокс провел проверку этой теории, и хакер, получивший доступ к его SMS, заплатил всего 16 долларов. Так что, возможно, кто-то тоже заплатил несколько долларов за ваше SMS.
Есть компании, которые управляют текстовыми сообщениями, которые, похоже, стоят за этим или, по крайней мере, способствуют этому сценарию. Эти службы автоматически перенаправляют текстовые сообщения. Иногда они перенаправляют их прямо в руки злоумышленников.
Эти компании часто даже не отправляют сообщения владельцам учетных записей, чтобы сообщить им, что их SMS-сообщения перенаправляются кому-то, кого они не знают и к которому не предоставили доступ. Злоумышленники получают возможность не только перехватывать ваши сообщения, но и отвечать на них. Что бы они сказали?
Коксу удалось заставить кого-то провести атаку на его номер телефона, которая обошлась злоумышленнику всего в 16 долларов. Ему также удалось заставить службы перенаправления SMS признать, что они уже сталкивались с подобными атаками раньше.
Это эксплойт со стороны служб перенаправления SMS. Они, очевидно, полагают, что продают доступ другим законным компаниям. Компания, продавшая номер Кокса, уже устранила уязвимость.
The Verge спросил у AT&T и Verizon, возможно ли перенаправление сообщений хакерам. Обе компании предложили связаться с торговой организацией индустрии беспроводной связи CTIA. В CTIA сообщили Motherboard, что у нее «нет никаких признаков какой-либо вредоносной деятельности, связанной с потенциальной угрозой, или того, что какие-либо клиенты пострадали».
Это были уже другие известные методы вмешательства в обмен текстовыми сообщениями. В отрасли известно об обмене SMS-сообщениями и атаках SST уже несколько лет. Однако жертвы обмена SMS-сообщениями знают об атаках. Это не будет так очевидно, если ваши текстовые сообщения будут перенаправлены.
Дальнейшие последствия
Это может быть даже хуже, чем просто доступ к вашим SMS-сообщениям — это может распространиться на другие ваши учетные записи. Подумайте обо всех кодах сброса пароля, которые отправляются вам в виде текстовых сообщений. Получив доступ к вашей учетной записи, злоумышленник теперь также имеет доступ к этим сброшенным учетным записям. Ссылки для входа также отправляются в виде текста. Это еще больше учетных записей, открытых хакерам.
По всем этим причинам избегайте отправки SMS-сообщений чего-либо, связанного с безопасностью. Сюда входит двухфакторная аутентификация. Иногда у вас может не быть выбора. Просто убедитесь, что у вас надежный пароль.
Было ли это источником моих фальшивых сообщений на Amazon? Кажется, это не так, но это не менее тревожно.
Прочитайте дальше, чтобы узнать, как заблокировать ваши SMS-сообщения от спамеров на iPhone и о некоторых приложениях для блокировки спама на Android.