Журналист издания Vice Джозеф Кокс (Joseph Cox) нанял хакера с ником Lucky225, чтобы тот получил доступ к его номеру телефона. Хакеру потребовалось совсем немного времени, чтобы авторизоваться в социальных сетях Кокса, в WhatsApp, Postmates и Bumble, используя обычный метод двухфакторной аутентификации с помощью SMS-сообщений. Но в отличие от обычной атаки с подменой SIM-карты, он сумел перенаправить все входящие сообщения журналиста на другой аппарат, пока тот, ни о чём не подозревая, продолжал использовать свой смартфон.
Lucky225 использовал сервис под названием Sakari, который позволяет пересылать текстовые сообщения на другое устройство, причём вполне законно. Такая система обычно применяется для продвижения продаж и услуг. Хакер оформил месячную подписку стоимостью 16 долларов и заполнил форму LOA (Letter of Authorization), где указал, что является владельцем номера телефона Кокса. Это всё, что потребовалось для перенаправления всех входящих сообщений на своё устройство.
Sakari — лишь одна из множества компаний, предлагающих аналогичные услуги, и все они работают в рамках законов. Lucky225 опубликовал собственную статью на Medium, где подробно описал технические аспекты этой атаки и призвали пользователей не полагаться на SMS для двухфакторной аутентификации. Помимо SMS, лучше использовать мобильное приложение или физический ключ безопасности.
Источник: