Сменили номер телефона? Вот почему нужно отвязать учетные записи от старой симки

^{Фото из открытых источников (иллюстративное)}

Почти каждый второй номер телефона уже использовался для регистрации различных аккаунтов, а более трети сим-карт дают возможность для попыток входа в ранее кем-то созданные активные учетные записи. К таким выводам пришли эксперты Positive Technologies, изучив три вида сим-карт: 30 были куплены в салонах сотовой связи («белые»), 50 — через каналы в Telegram («серые»), еще 15 — арендованы через онлайн-сервисы (виртуальные).

Специалисты также изучили 38 из 80 популярных приложений, исключив из списка сервисы без браузерных версий и личные кабинеты мобильных операторов. Приложения разделили на несколько категорий: сайты компаний, интернет-магазины и аптеки, сервисы доставки еды и продуктов, маркетплейсы и соцсети.

Эксперимент показал, что 43% сим-карт уже когда-либо были использованы прежними владельцами для регистрации аккаунтов, а для 37% номеров они были активными. Кроме того, авторам исследования удалось подтвердить возможность доступа к аккаунтам на маркетплейсах, но ни разу — к банковским профилям.

Всего специалисты подтвердили возможность доступа к 57 аккаунтам прежних владельцев номеров. Выяснилось, что нет зависимости между потенциалом успешности авторизации и категорией сим-карт.

По словам руководителя отдела перспективных технологий Positive Technologies Николая Анисени, эксперимент показал, что злоумышленники могут начать использовать в атаках ваш прежний номер, как только он вновь поступит в продажу.

Разработчикам приложений не стоит использовать СМС как единственный второй фактор аутентификации и замену паролям при однофакторной аутентификации. При смене номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам, а в формах регистрации, авторизации и восстановления пароля не должна отображаться информация о наличии пользователя с таким номером», — подчеркнул эксперт.

Пользователям советуют сохранять доступ к своим номерам телефонов, а в случае утраты или смены — привязать аккаунты к другому номеру. Для критически важных приложений (соцсети, мессенджеры, онлайн-банки) лучше дополнительно использовать альтернативный способ авторизации, в том числе через email.

При этом эксперты рекомендуют отказаться от входа через СМС, если это возможно, и настроить двухфакторную аутентификацию, используя генераторы одноразовых паролей. Кроме того, лучше не выдавать приложениям разрешение на чтение СМС-сообщений и, конечно же, никому не сообщать одноразовые пароли.