- Неввічливо злодійство акаунтів, або Що насправді сталося
- Що робити, щоб не дати відвести свої акаунти
«Нікому не повідомляйте цей код!» - здавалося б, коли мова йде про одноразові кодах і паролі, це настільки очевидний рада, що його немає сенсу в черговий раз повторювати. Однак обставини бувають різні ...
Нещодавно натрапив на ось такий приклад фішингу . Людина отримує SMS-повідомлення приблизно такого змісту:
«Добрий день, ви мене не знаєте, але ваш номер телефону колись давно належав мені. Намагаюся залогінитися в один зі своїх старих акаунтів, прив'язаних до цього номеру, але він вимагає код активації, який прийшов в СМС на цей самий номер. Хочу дізнатися, чи буде вам зручно, якщо я попрошу вас переслати мені це код, коли він прийде. Заздалегідь велике спасибі".
Якщо номером телефону довго не користуватися, то стільникові оператори дійсно відключають його і продають кому-небудь іншому - так що ситуація, коли у вашого номера колись міг бути інший власник, цілком реальна, особливо якщо цей номер у вас не так давно. І багато людей про це знають.
Якщо прохання написана досить інтелігентною мовою, то виглядає вона вкрай переконливо - добрі люди, готові допомогти ввічливому людині, реагують і обіцяють переслати код. Код приходить, вони відправляють його автору повідомлення, той у відповідь розсипається в подяках. Але насправді вони щойно віддали цій людині доступ до свого облікового запису.
Неввічливо злодійство акаунтів, або Що насправді сталося
Можливо, звичайно, це дійсно була SMS від людини, якій колись належав ваш номер і яким потрібна допомога. Але навряд чи. Швидше за все, це був фішинг. І ось що могло відбуватися.
Зловмисник знаходить на просторах Мережі інформацію про те, що адреса електронної пошти такої-то і номер телефону такий-то пов'язані один з одним - виявляється, це ваші номер телефону та адресу. Якщо у вас був аккаунт в Yahoo, Twitter або LinkedIn (або ж ще якому-небудь із сотень сервісів, в яких за останні кілька років стався витік призначених для користувача даних), то інформацію про те, який номер телефону пов'язаний з вашою поштою, знайти цілком реально .
Далі зловмисник вирішує роздобути доступ до вашої пошти, і для цього йому потрібно скинути пароль. Сервіс в цьому випадку відправить вам на телефон СМС з кодом, який потрібен, щоб підтвердити, що це саме ви намагаєтеся скинути пароль.
Перш ніж братися за цю дію, шахрай пише вам зворушливо-ввічливу СМС, яку ми навели вище. Код діє всього кілька хвилин, тобто зловмисникові потрібно спочатку морально підготувати вас до того, що йому буде потрібно цей самий код, щоб ви скоріше його прислали.
Отримавши доступ до вашої пошти, шахрай може спокійно скидати паролі на всіх ваших акаунтах, прив'язаних до цієї пошті, - в соцмережах, інших поштових сервісах, онлайн-гаманцях і так далі. Посилання для скидання пароля прийде на пошту - і, вуаля, у зловмисника є доступ до всіх ваших акаунтів. А ось у вас його більше немає.
Саме тому ні в якому разі не можна пересилати або озвучувати коди підтвердження, що прийшли в СМС, якими б переконливими не виглядали прохання. Озвучивши всього один код, можна втратити доступ практично до всього.
Що робити, щоб не дати відвести свої акаунти
- Ніколи і нікому не надсилайте СМС з кодами для підтвердження. Ці коди - головне підтвердження для надіслав їх сервісу, що ви - це ви.
- підключайте двухфакторную аутентифікацію всюди, де тільки можливо. Навіть якщо у вас вкрадуть доступ до електронної пошти, це хоча б не дозволить вкрасти інші акаунти.
- використовуйте захисні рішення на всіх пристроях, в тому числі на мобільних. Наприклад, вони дозволять вчасно виявити троянів, які вміють красти коди з SMS-повідомлень.