Верификация, которой нельзя доверять: как киберпреступники злоупотребляют SMS-кодами для проверки личности

В 2021 году в Казахстане было выявлено 3,8 млн случаев заражения смартфонов вредоносным ПО, а всего за прошлый год в странах Центральной Азии зафиксировано почти 6 млн заражений мобильных устройств. Как показало исследование Trend Micro SMS PVA: An Underground Service Enabling Threat Actorsto Register Bulk Fake Accounts, значительная часть заражённых смартфонов используется для нелегальной SMS-верификации в социальных сетях и других онлайн-сервисах. Вот как это происходит.

SMS-коды — распространённый способ проверки личности пользователей. Соцсети, мессенджеры и онлайн-магазины считают, что SMS-верификация вполне безопасна и её достаточно, чтобы гарантировать соблюдение правила «один аккаунт на одного человека». Примечательно, что такого же мнения придерживаются многие отделы ИТ-безопасности.

Уверенностью компаний в безопасности SMS-верификации успешно злоупотребляют киберпреступники. Заразив смартфоны, они могут делать с ними всё что угодно, в том числе незаметно перехватывать SMS. Собрав сотни и тысячи смартфонов в ботнет, хакеры предоставляют всем желающим услугу массовой регистрации/верификации учётных записей без ведома владельцев номеров. 

Проблемы владельцев смартфонов

Пользователи заражённых смартфонов становятся невольным соучастникам преступлений, поскольку их мобильные номера могут быть использованы в различных незаконных схемах. Вредоносное ПО на мобильных устройствах способно не только перехватывать SMS-коды, но и собирать токены приложений для двухфакторной аутентификации (OTP) и даже следить за владельцем устройства. 

Вред для онлайн-платформ и сервисов

Массовое предложение недорогой услуги SMS-верификации означает, что интернет-сервисы больше не могут рассматривать этот способ проверки личности в качестве гарантии добропорядочности пользователя. Множество верифицированных через SMS аккаунтов могут быть мошенническими и вести себя как боты. 

Проблемы со службами единой регистрации (SSO) 

Единая регистрация позволяет пользователям подключаться с учётными записями Google, Apple или Facebook к другим сервисам и платформам. Поскольку для такого входа достаточно SMS-подтверждения, у злоумышленников появляется возможность массово создавать учётные записи. 

Ещё более серьёзную проблему создаёт SMS-верификация пользователей при входе на государственные порталы и обращении к онлайн-банкингу: перехватив SMS-коды, злоумышленники могут выдать себя за легального пользователя и от его имени выполнить переводы средств и другие операции.

Возможна ли защита?

Онлайн-платформы должны признать, что SMS-верификацию нельзя применять в качестве основного средства подтверждения личности пользователя и рассмотреть другие меры для выполнения проверки. 

Пользователям необходимо защищать свои смартфоны с помощью специализированного ПО, например, Trend Micro Mobile Security Solutions. Это позволит обнаруживать и устранять вредоносные приложения и блокировать трафик к серверам управления вредоносами.