1 1

Онлайн-аккаунты можно угнать через вашу голосовую почту.
0

12 сообщений в этой теме

Кто в наше время пользуется голосовой почтой? Первый ответ, который наверняка всем приходит в голову, — «да никто». Но этот ответ одновременно и правильный, и неправильный: с одной стороны, по делу голосовой почтой действительно давно уже никто не пользуется. С другой стороны, у многих абонентов сотовой связи есть голосовая почта — и она продолжает исправно работать, даже если в нее уже несколько лет не заходили.

Наконец с третьей стороны, не факт, что вашей голосовой почтой не пользуется кто-нибудь другой. В докладе «Компрометация онлайн-аккаунтов через взлом голосовой почты» на DEF CON 26 исследователь Мартин Виго (Martin Vigo) продемонстрировал, что голосовая почта может заинтересовать тех, кто хочет взломать ваши онлайн-аккаунты.

 

Взломать голосовую почту сравнительно просто

Дело в том, что большинство операторов позволяет входить в голосовой почтовый ящик не только с вашего телефона, но и с чужого — у всех операторов есть специальный номер доступа к голосовой почте, на который может позвонить кто угодно. При этом потребуется ввести номер вашего телефона и ПИН-код. Вот только эти ПИН-коды не очень-то безопасны. Значительная часть абонентов использует коды, установленные оператором по умолчанию, — обычно это или последние цифры телефонного номера, или что-то совсем простое вроде 1111 или 1234.

Более того, даже если абонент удосужился поменять ПИН-код, с большой вероятностью его можно угадать: как показывает исследование, придумывая цифровые коды, люди оказываются еще менее изобретательны, чем придумывая пароли.

Во-первых, скорее всего, ПИН состоит из четырех цифр, даже если есть техническая возможность сделать его длиннее.

Во-вторых, очень многие используют простейшие комбинации из четырех одинаковых цифр или «удобные» комбинации вроде 1234, 9876, 2580 (средний вертикальный ряд на телефонной клавиатуре) и тому подобного. Также весьма популярны ПИН-коды, начинающиеся на 19хх. Знание этих особенностей позволяет значительно ускорить взлом голосового почтового ящика.

 

Не обязательно вручную перебирать все комбинации — это можно сделать с помощью скрипта, который звонит на общий номер голосовой почты и в тональном режиме вводит разные комбинации. Все вышесказанное делает взлом голосовой почты делом не только реальным, но и не слишком ресурсоемким. «Ну и что? — скажете вы, — все равно в моей голосовой почте нет ничего ценного». Но на самом деле кое-что ценное там очень даже может быть.

 

Как взломать PayPal и WhatsApp через голосовую почту

Дело в том, что при сбросе пароля многие крупнейшие онлайн-сервисы в качестве одной из опций предлагают позвонить вам на указанный в профиле телефонный номер и продиктовать код подтверждения операции.

Задача атакующего сводится к тому, чтобы подобрать ПИН-код от голосовой почты и дождаться того момента, когда телефон жертвы окажется выключен или вне зоны действия (например, в режиме полета). После этого остается инициировать сброс пароля в онлайн-сервисе и указать в качестве варианта подтверждения звонок, который будет переведен на голосовую почту.

В качестве демонстрации Мартин Виго показал, как с помощью данной техники можно угнать учетную запись в WhatsApp.

 

На некоторых онлайн-ресурсах процесс подтверждения устроен немного иначе: сервис перезванивает на привязанный к аккаунту номер телефона и для подтверждения просит ввести цифры, отображенные на странице сброса пароля. Это можно обойти с помощью нехитрого трюка — достаточно записать соответствующие этим цифрам тоновые сигналы в качестве приветственного сообщения голосовой почты.

Один из онлайн-сервисов с такой системой подтверждения — PayPal. Мартину Виго удалось взломать и его:
 

Это просто пара примеров — на самом деле сервисов, которые используют голосовой звонок на привязанный номер телефона для подтверждения сброса пароля или для передачи одноразового кода двухфакторной аутентификации, гораздо больше.

 

Как защититься от взлома с использованием голосовой почты?

  • Подумайте о том, чтобы вовсе отключить голосовую почту — практической пользы от нее все равно немного.
  • Если голосовая почта вам все же нужна, по крайней мере используйте надежный ПИН-код. Во-первых, его длина должна быть больше четыре цифр. Чем длиннее — тем лучше. Во-вторых, комбинация должна быть неочевидной (в идеале — случайной).
  • Не давайте кому попало телефонный номер, к которому привязаны ваши учетные записи в онлайн-сервисах. Чем сложнее сопоставить вашу «электронную личность» с телефонным номером — тем лучше.
  • Старайтесь не привязывать номер телефона к онлайн-сервису, если это не является обязательным условием или не требуется для двухфакторной аутентификации.
  • Обязательно используйте двухфакторную аутентификацию — в идеале приложение вроде Google Authenticator или отдельное устройство вроде YubiKey.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ты когда копировал откуда то хоть форматнул текст. Зачем такие большие белые пятна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 19.08.2018 в 08:24, GTA-003 сказал:

Ты когда копировал откуда то хоть форматнул текст. Зачем такие большие белые пятна.

Так нуж но наверное))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сколько так удалось угнать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот поэтому у меня нет голосовой почты

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как хорошо что я ей не пользуюсь)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я так делала пару раз

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если голосовой почтой не пользуешься, могут угнать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я с таим реально столкнулся. Не знал что уже придумали такой метод)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю это для тех, кто пользуется голосовой почтой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, эта тема актуальна тем кто пользуется голосовой почтой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот поэтому многие перестали работать с этой почтой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
0