Почему стоит отвязать учетные записи от номера телефона

Исследователь безопасности, известный под ником Lucky225, рассказал о целой экосистеме компаний, которую можно использовать для незаметного перехвата SMS. Для этого он использовал сервис Sakari, который помогает знаменитостям и компаниям в США заниматься SMS-маркетингом и вести массовую рассылку сообщений.

По словам Lucky225, Sakari предлагает бесплатную пробную версию, а стоимость самого дешевого тарифного плана составляет $16. Он позволяет добавить в профиль номер телефона, по которому пользователь может отправлять и получать тексты сообщений, причем создатель учетной записи может зарегистрироваться с номером любого человека и вместо него получать его SMS.

В интервью KrebsOnSecurity исследователь сказал, что Sakari предприняла шаги, чтобы устранить уязвимость, но эта компания — лишь часть гораздо более крупной отрасли, которую можно использовать для перехвата SMS-сообщений.

Несмотря на то, что уязвимость обнаружена в США, угрозе могут быть подвержены пользователи всех страны, поэтому советы Lucky225 актуальны для всех:

— Стоит удалять телефонные номера из своих онлайн-аккаунтов везде, где возможно и избегать выбора SMS или телефонных звонков в качестве подтверждения при входе в личный кабинет. Вместо этого, любые важные онлайн-аккаунты должны быть защищены уникальным и надежным паролем, а также многофакторной аутентификацией (например, через Authy или Google Authenticator).

— Многие сервисы электронной почты позволяют сбрасывать пароль учетной записи, отправляя текстовую ссылку на указанный в ней номер телефона. Поэтому удалите номер телефон в качестве резервного способа восстановления учетной записи и убедитесь, что выбрана более надежная опция.

— По возможности надо удалять свои номера телефонов из учетных записей и использовать мобильные приложения для генерации любых одноразовых кодов для многофакторной аутентификации.