KrebsOnSecurity: Что не так с идентификацией по номеру телефона?

Многим пользователям принципиально не нравится идея регистрации по номеру телефона. Причины могут быть разными, но основная – страх когда-нибудь потерять доступ к привычным сервисам. Ведь электронную почту всегда можно восстановить, а вот заблокированный когда-то номер телефона уже могли передать новому владельцу. Да и так ли безопасна регистрация по номеру и одноразовые пароли в виде SMS? Перевод заметки Брайана Кребса.

Почему телефонный номер – это далеко не лучший способ идентификации пользователей?

Телефонные номера – это самый спорный способ идентификации, да и безопасным его не назовёшь. Мы буквально привязаны к этим цифрам, а для многих сервисов мы и есть эти цифры. Представьте, что потеряли мобильник. Что случится, если кто-то его найдёт? Вместе с вашим номером он получит и доступ ко всем вашим аккаунтам. Думаете, что с вами этого уж точно не произойдёт? А что, если вы редко пользуетесь телефоном и в какой-то момент просто забудете пополнить счёт? Если уйдёте в минус и не успеете вовремя пополнить баланс, ваш телефон сперва заблокируют, а затем передадут случайному «счастливчику». И что тогда? Вы уже не сможете отвязать от своих аккаунтов старый номер, ведь SMS с кодами подтверждения теперь будут приходить парню, которого вы даже не знаете. Сменить номер и не облажаться не так то просто!

Когда-то номер мобильного телефона был просто набором цифр, по которому с вами можно связаться. Вы в любой момент могли от него отказаться и завести новый. Сейчас же ваша жизнь почти полностью привязана именно к этим цифрам. Но ведь так было не всегда? Когда, а главное как именно это произошло? Этот вопрос мы решили обсудить с Эллисон Никсон из нью-йоркской фирмы Flashpoint, там она как раз отвечает за исследования в области цифровой безопасности.

По словам Никсон, её взгляды на проблему идентификации по номеру телефона во многом продиктованы именно профессиональной деятельностью. Очень часто ей приходилось сталкиваться с последствиями «подмены» SIM-карт и перехвата SMS-сообщений: если мошенникам удастся скопировать вашу карту, с её помощью они получат доступ к вашему банковскому счёту, криптовалютам и другим учётным записям.

Для многих интернет-компаний номер телефона – это главный, а иногда и единственный способ идентифицировать клиентов. Некоторые сервисы и вовсе позволяют пользователям отказаться от привычных паролей и заменить их на одноразовые SMS-коды. Мошенникам уже не нужно выуживать из вас информацию, им достаточно получить доступ к номеру вашего сотового.

«Как потребитель, я вынуждена использовать свой телефонный номер в качестве подтверждения своей личности. Меня зачастую даже не спрашивают, хочу я этого или нет, – объясняет Никсон. – Если кто-то воспользуется моим номером, чтобы сбросить пароль от учётной записи, у сайта попросту нет возможности убедиться, что это делаю именно я. И у этой проблемы пока нет решения. Единственное, что мы можем сделать, это навсегда отказаться от использования телефонных номеров в качестве подтверждения личности».

Однако подмена SIM-карт – далеко не единственный способ лишиться доступа к своему номеру. К примеру, вы можете потерять номер за неуплату. В этом случае ваша SIM-карта сперва будет заблокирована, а затем ваш номер передадут новому абоненту. Возможно, это случится нескоро, а возможно, он уже на пути в салон. Вы не в силах на это повлиять.

Большинство популярных сайтов по-прежнему позволяют пользователю сбросить пароль от его учётной записи, просто введя номер телефона и подтвердив свою личность, скопировав код из SMS-сообщения. К примеру, если вы хотите восстановить доступ к своему аккаунту на Yahoo, вы можете просто сделать вид, что «забыли пароль». Тогда сайт предложит вам сбросить старый пароль, но вместо логина позволит ввести и номер вашего сотового, на который и пришлёт код с подтверждением. Выходит, если вы получили физический доступ к номеру, которым когда-то пользовался кто-то ещё, вы вполне могли бы захватить его профиль.

Получается, если ваша учётная запись на Yahoo привязана к номеру, которым вы уже не пользуетесь, тот, кому этот номер передадут после того, как SIM-карта будет заблокирована, сможет получить доступ и ко всей вашей переписке. А имея доступ к учётной записи на Yahoo, он, скорее всего, проверит, не использовали ли вы её для авторизации и на других популярных сайтах.

Именно это и произошло с одним из наших читателей:

«Недавно я купил новую SIM-карту. Зашёл на Yahoo, ввёл в поле логина свой новый номер, и сайт спросил хочу ли я получить SMS с кодом доступа. Я ответил «Да», и сайт почти сразу прислал мне код с подтверждением. Вот только учётной записи на Yahoo у меня никогда не было. Другими словами, я в несколько кликов получил доступ к аккаунту предыдущего владельца моего нового номера.

Сайт даже не попросил меня ввести адрес предполагаемой электронной почты, чтобы убедиться, что я – это действительно я. Они даже фамилию не спросили, просто прислали мне SMS с кодом, открывшим мне доступ к аккаунту совершенно незнакомого мне человека. По-моему, это серьёзная проблема, требующая немедленного решения. Я не знал ни логина, ни пароля. Если бы перед тем, как отправить мне SMS с кодом, сайт задал хотя бы один вопрос о владельце аккаунта, этого бы хватило, чтобы остановить возможного злоумышленника».

Брайан Кребс: В вашей практике было что-то подобное? Расскажите.

Эллисон Никсон: Деятельность любой компании, специализирующейся на безопасности, зачастую связана с покупкой сопутствующего оборудования. К нему относятся и SIM-карты с новыми телефонными номерами. Получив новый номер, вы и не думаете о том, что кто-то мог пользоваться им до вас. Так что я частенько получаю сообщения о сбросе старых паролей. Пару раз мне даже приходили чужие сообщения из банка. Просто представьте: сообщения о состоянии счёта приходят не владельцу счёта, а совершенно постороннему человеку. Тот номер нужен был нам для работы, и мы боялись, что у старого владельца могут возникнуть проблемы. Поэтому мы обратились в банк, но там нам сказали, что ничем не смогут помочь.

Однажды мы даже взломали чей-то аккаунт. Это вышло случайно. Мы пытались восстановить доступ к одной из наших учётных записей, но по ошибке ввели один из новых номеров. Мы поняли, что именно произошло, только когда вошли в чужой профиль. Просто введя на сайте неправильный номер, мы получили доступ к чужой переписке.

Формально мы «украли» чей-то аккаунт, но ведь чисто технически у нас вообще не было никаких ограничений: оператор передал нам его номер, а мы просто ввели этот номер на сайте. А сколько ещё существует таких сайтов?

Брайан Кребс: Но мы ведь не всегда были намертво привязаны к номеру телефона. Почему это вдруг изменилось? Или не вдруг?

Эллисон Никсон: Самой концепции телефонных номеров уже больше ста лет. Когда-то оператор вручную набирал номер, который, как вам казалось, был связан с кем-то, с кем вы хотели поговорить. Но на самом деле никто ведь не знал, кто именно возьмёт трубку на другом конце провода. Так что даже в те времена физический доступ к номеру телефона не подтверждал чью-то личность.

В наши дни телефонные номера гораздо «жёстче» привязаны к конкретному владельцу. Ваш телефон всегда у вас в кармане. Но если вы перестанете им пользоваться или не сможете за него платить, его передадут кому-то другому, и никто из ваших знакомых об этом даже не узнает. Тот факт, что почти все современные сайты и онлайн-сервисы в качестве основного способа идентификации своих пользователей используют именно номера телефонов, пугает!

Брайан Кребс: А чем номер телефона отличается от привычных удостоверений личности?

Эллисон Никсон: Привычные удостоверения личности вы должны предъявлять лично. Вы приходите в банк, показываете документы, и лишь убедившись, что вы – это действительно вы, сотрудники банка начнут с вами работать. В интернете всё устроено иначе: сайт вас не видит, а вы не можете доказать, что «вы» – это действительно вы.

В интернете пока нет единого подхода к тому, как именно пользователь должен подтверждать свою личность, но очевидно, что чем больше информации должен предоставить пользователь, тем надёжнее такой способ идентификации. Например, сайт мог бы спрашивать у вас не только ваш никнейм, но и адрес электронной почты, номер сотового телефона или полное имя. И лишь в том случае, если ваши ответы совпадут с реальными, сайт давал бы вам доступ к вашему профилю.

Сейчас для того, чтобы притвориться вами, мошеннику достаточно получить доступ к вашей электронной почте или номеру вашего телефона. А если сама система допускает подобное мошенничество, значит она работает совсем не так, как должна была. Ведь, когда мошенники копируют вашу SIM-карту, им нужен вовсе не ваш номер, им нужна возможность притвориться вами.

Брайан Кребс: Вы говорите, что передача старых номеров новым абонентам – это необходимость, но в то же время это ещё и причина многих проблем. Давайте поговорим об этом подробнее?

Эллисон Никсон: Допустим, у вас просто нет денег, чтобы оплачивать телефонные счета. Ваш оператор не хочет терять деньги. Он заблокирует ваш номер и снова выставит его на продажу. Возможно, вы успеете выкупить его обратно, но если ваш номер передадут новому владельцу, вы можете навсегда с ним распрощаться. И ситуаций, в которых вы можете лишиться привычного номера, гораздо больше, чем вам кажется. И именно поэтому идентификация по номеру телефона – самый ненадёжный способ идентификации.

Почему же тогда на это никто не обращает внимания? Возможно, нам кажется, что если у человека не было средств, чтобы оплатить свои телефонные расходы, то у него и красть то нечего. Вот только в этом случае под удар попадают и без того бедные люди. Кем нужно быть, чтобы нападать на слабых? Не думаю, что тот факт, что со счёта можно украсть лишь несколько долларов, должен заставить нас закрыть глаза на очевидные проблемы.

Брайан Кребс: Мне кажется, было бы гораздо проще, если бы сайты полностью отказались от использования одноразовых паролей и кодов подтверждения и вместо них просто спрашивали бы меня через приложения «Эй, это действительно вы пытаетесь зайти на сайт? Точно? Ну тогда заходите!». Ведь в этом случае мошенникам мало подделать мою SIM-карту или перехватить SMS. Или всё сложнее?

Если номер телефона – это не самый лучший способ идентификации, что ещё мы могли бы использовать для подтверждения личности?

Эллисон Никсон: Я часто думаю об этом в последнее время. Похоже, другие варианты либо слишком ненадёжные, либо же наоборот слишком сложные для неподкованных пользователей. С одной стороны мне бы действительно хотелось, чтобы у сотрудников моего банка был способ убедиться, что я – это действительно я, и я могу дать им адрес своей электронной почты или номер сотового, чтобы они могли связаться со мной в случае необходимости. Но если речь идёт лишь об учётной записи на каком-то сайте, мне бы не хотелось, чтобы у его администрации было слишком много информации обо мне. У меня нет чёткого ответа на этот вопрос. Но то, что происходит сейчас, мне тоже не нравится!

Брайан Кребс,
бывший репортёр Washington Post
17 марта 2019 г.

Comment

Ваш адрес email не будет опубликован.

Vivaldi