Смартфон практически всегда находится рядом со своим владельцем, поэтому код для подтверждения личности, отправленный на зарегистрированный номер телефона посредством SMS-сообщения, считается надёжным способом двухфакторной аутентификации. Однако специалисты в области безопасности знают, что этот метод проверки не лишён недостатков. Уже привычными явлениями стали угон SIM-карты, атаки SS7 и другие методы взлома. Недавнее исследование показало, что аналогичные атаки можно осуществлять с помощью готовых маркетинговых инструментов, при этом жертва даже ничего не поймёт.
Журналист издания Vice Джозеф Кокс (Joseph Cox) нанял хакера с ником Lucky225, чтобы тот получил доступ к его номеру телефона. Хакеру потребовалось совсем немного времени, чтобы авторизоваться в социальных сетях Кокса, в WhatsApp, Postmates и Bumble, используя обычный метод двухфакторной аутентификации с помощью SMS-сообщений. Но в отличие от обычной атаки с подменой SIM-карты, он сумел перенаправить все входящие сообщения журналиста на другой аппарат, пока тот, ни о чём не подозревая, продолжал использовать свой смартфон.
Lucky225 использовал сервис под названием Sakari, который позволяет пересылать текстовые сообщения на другое устройство, причём вполне законно. Такая система обычно применяется для продвижения продаж и услуг. Хакер оформил месячную подписку стоимостью 16 долларов и заполнил форму LOA (Letter of Authorization), где указал, что является владельцем номера телефона Кокса. Это всё, что потребовалось для перенаправления всех входящих сообщений на своё устройство.
Sakari — лишь одна из множества компаний, предлагающих аналогичные услуги, и все они работают в рамках законов. Lucky225 опубликовал собственную статью на Medium, где подробно описал технические аспекты этой атаки и призвали пользователей не полагаться на SMS для двухфакторной аутентификации. Помимо SMS, лучше использовать мобильное приложение или физический ключ безопасности.
