Онлайн-аккаунты можно угнать через вашу голосовую почту

16 августа 2018

Кто в наше время пользуется голосовой почтой? Первый ответ, который наверняка всем приходит в голову, — «да никто». Но этот ответ одновременно и правильный, и неправильный: с одной стороны, по делу голосовой почтой действительно давно уже никто не пользуется. С другой стороны, у многих абонентов сотовой связи есть голосовая почта — и она продолжает исправно работать, даже если в нее уже несколько лет не заходили.

Наконец с третьей стороны, не факт, что вашей голосовой почтой не пользуется кто-нибудь другой. В докладе «Компрометация онлайн-аккаунтов через взлом голосовой почты» на DEF CON 26 исследователь Мартин Виго (Martin Vigo) продемонстрировал, что голосовая почта может заинтересовать тех, кто хочет взломать ваши онлайн-аккаунты.

Взломать голосовую почту сравнительно просто

Дело в том, что большинство операторов позволяет входить в голосовой почтовый ящик не только с вашего телефона, но и с чужого — у всех операторов есть специальный номер доступа к голосовой почте, на который может позвонить кто угодно. При этом потребуется ввести номер вашего телефона и ПИН-код. Вот только эти ПИН-коды не очень-то безопасны. Значительная часть абонентов использует коды, установленные оператором по умолчанию, — обычно это или последние цифры телефонного номера, или что-то совсем простое вроде 1111 или 1234.

Более того, даже если абонент удосужился поменять ПИН-код, с большой вероятностью его можно угадать: как показывает исследование, придумывая цифровые коды, люди оказываются еще менее изобретательны, чем придумывая пароли.

Во-первых, скорее всего, ПИН состоит из четырех цифр, даже если есть техническая возможность сделать его длиннее. Во-вторых, очень многие используют простейшие комбинации из четырех одинаковых цифр или «удобные» комбинации вроде 1234, 9876, 2580 (средний вертикальный ряд на телефонной клавиатуре) и тому подобного. Также весьма популярны ПИН-коды, начинающиеся на 19хх. Знание этих особенностей позволяет значительно ускорить взлом голосового почтового ящика.

Не обязательно вручную перебирать все комбинации — это можно сделать с помощью скрипта, который звонит на общий номер голосовой почты и в тональном режиме вводит разные комбинации. Все вышесказанное делает взлом голосовой почты делом не только реальным, но и не слишком ресурсоемким. «Ну и что? — скажете вы, — все равно в моей голосовой почте нет ничего ценного». Но на самом деле кое-что ценное там очень даже может быть.

Как взломать PayPal и WhatsApp через голосовую почту

Дело в том, что при сбросе пароля многие крупнейшие онлайн-сервисы в качестве одной из опций предлагают позвонить вам на указанный в профиле телефонный номер и продиктовать код подтверждения операции.

Задача атакующего сводится к тому, чтобы подобрать ПИН-код от голосовой почты и дождаться того момента, когда телефон жертвы окажется выключен или вне зоны действия (например, в режиме полета). После этого остается инициировать сброс пароля в онлайн-сервисе и указать в качестве варианта подтверждения звонок, который будет переведен на голосовую почту.

В качестве демонстрации Мартин Виго показал, как с помощью данной техники можно угнать учетную запись в WhatsApp.

На некоторых онлайн-ресурсах процесс подтверждения устроен немного иначе: сервис перезванивает на привязанный к аккаунту номер телефона и для подтверждения просит ввести цифры, отображенные на странице сброса пароля. Это можно обойти с помощью нехитрого трюка — достаточно записать соответствующие этим цифрам тоновые сигналы в качестве приветственного сообщения голосовой почты.

Один из онлайн-сервисов с такой системой подтверждения — PayPal. Мартину Виго удалось взломать и его:

Это просто пара примеров — на самом деле сервисов, которые используют голосовой звонок на привязанный номер телефона для подтверждения сброса пароля или для передачи одноразового кода двухфакторной аутентификации, гораздо больше.

Как защититься от взлома с использованием голосовой почты?

  • Подумайте о том, чтобы вовсе отключить голосовую почту — практической пользы от нее все равно немного.
  • Если голосовая почта вам все же нужна, по крайней мере используйте надежный ПИН-код. Во-первых, его длина должна быть больше четыре цифр. Чем длиннее — тем лучше. Во-вторых, комбинация должна быть неочевидной (в идеале — случайной).
  • Не давайте кому попало телефонный номер, к которому привязаны ваши учетные записи в онлайн-сервисах. Чем сложнее сопоставить вашу «электронную личность» с телефонным номером — тем лучше.
  • Старайтесь не привязывать номер телефона к онлайн-сервису, если это не является обязательным условием или не требуется для двухфакторной аутентификации.
  • Обязательно используйте двухфакторную аутентификацию — в идеале приложение вроде Google Authenticator или отдельное устройство вроде Yubikey.