​⁉️Как взламывают аккаунты с помощью номера телефона в платёжных системах

• ⚠️ Для успешного взлома, злоумышленнику нужно знать всего лишь номер телефона!

•⚙️📲 У сервисов PayPal и Venmo возможно сбросить пароль с помощью текстового сообщений, доставляемого на телефон, злоумышленник может провести атаку SIM swapping и получить контроль над аккаунтом пользователя.

• ❓ SIM swapping - это мошенничество с обменом SIM-карт, данный тип реализуется с захватом учетной записи, который обычно нацелен на слабость в двухфакторной аутентификации и двухэтапной проверке, в которой вторым фактором или шагом является текстовое сообщение или звонок, поступающий на мобильный телефон.

• 📨 Одноразовые телефонные пароли являются распространенным методом аутентификации. Они обычно используются в качестве одного из нескольких факторов аутентификации, в качестве резервной опции аутентификации или в качестве метода восстановления аккаунта.

• ✉️📲 Пароль может быть выслан на телефон пользователя с помощью текстового сообщения SMS, телефонного звонка, электронной почты Email,
или приложение для проверки подлинности.

• 🔦 Отметим, что многие злоумышленники могут получить доступ к дополнительной информации, которая может быть использована для обхода проблем с аунтефикацией через телефон.

• 👥 На данную проблему безопасности обратили внимание специалисты Принстонского университета. Исследователи сообщили о 17 затронутых компаниях, среди них Paypal, Venmo, eBay, Amazon, Blizzard, Adobe, Yahoo и Snapchat.

• 👥 💬 Специалисты сообщают о том что многие компании не понимают, что речь идёт об уязвимости в их механизме аутентификации. Они считают, что проблема на стороне операторов связи.

#Уязвимости
#Приватностьданных
#Безопасностьдоступа

@SingleSecurity 🛡