что такое одноразовый sms код
Подозрительно: массовые смс с кодами активации от разных сервисов
С десятка номеров пришли однотипные смс, одно за другим — «Ваш код подтверждения…»:
Некоторые сообщения продублировались утром и вечером. Что это может быть?
Анна, кто-то мог отправить смс и вручную, вводя ваш номер на разных сайтах. Но более вероятно, что это работа автоматического скрипта — программного кода, который выполняет действия по заранее заданному алгоритму.
Попробую разобраться, чего хотел автор этого скрипта. Некоторые варианты выглядят безобидно, другие в будущем могут стоить вам денег. Вот что приходит на ум:
Обычная шутка
Начну с самого безобидного. Кто-то из знакомых, знающих ваш номер, решил ради шутки завалить ваш телефон сообщениями. Это делают с помощью программ, которые называются « смс-бомберы », или « смс-флудеры ». Не знаю, почему некоторые считают это смешным, но шутка достаточно популярная.
Как защититься. Если не планируете пользоваться сервисами, от которых пришли сообщения, просто заблокируйте имена отправителей.
Самозащита от мошенников
Создание баз номеров
Другая возможная цель такого скрипта — сбор информации. Скрипт пытается восстановить пароль на разных сервисах. Если процесс запустился, аккаунт с таким телефонным номером существует. Его вносят в базу номеров.
Использовать базу могут как угодно. Например, статистику о владельцах дисконтных карт одной торговой сети передадут в другую — и вы начнете получать от них уведомления об акциях и скидках. Или через некоторое время вам позвонит «сотрудник банка» и попытается выманить данные карты.
Как защититься. Существуют сервисы, которые подменяют телефонные номера, поэтому доля паранойи не помешает. Если вам звонят и просят срочно назвать три цифры с обратной стороны карты, чтобы заблокировать списание денег, не верьте — даже если это звонок с номера банка, указанного на карте. Положите трубку и перезвоните в банк.
Еще вариант защиты — завести отдельную симкарту для регистрации на сайтах и больше нигде ее не использовать. Если на этот номер позвонят или напишут из банка, вы будете точно знать, что это мошенник.
Попытка регистрации с подбором кода
Для рассылки спама с разводом и «мусорной» рекламой мошенники обычно создают аккаунты на чужое имя или используют взломанные. Смс с кодами активации могут говорить о том, что ваши аккаунты пытаются взломать — или зарегистрировать новые на ваш номер телефона.
При регистрации сервисы отправляют на указанный номер мобильного код проверки. Вводя этот код, вы подтверждаете, что номер принадлежит вам и вы соглашаетесь с регистрацией. У мошенника нет вашего телефона, но он может попытаться подобрать присланный вам код.
Чем длиннее код, тем сложнее это сделать. Например, если код состоит из четырех цифр, существует 10 тысяч разных вариантов, а если из шести — вариантов уже миллион.
Скрипт можно научить проверять все эти варианты и автоматически вводить коды проверки один за другим — от 000000 до 999999. Здесь все зависит от защиты сайта: ограничивает ли он количество попыток, если ограничивает, то сколько их. И можно ли повторить процедуру с тем же номером через какое-то время.
Чем больше попыток дает сайт, тем выше вероятность, что скрипт успеет подобрать код и подтвердить «вашу» учетную запись без доступа к телефону и тексту смс. Например, в 2017 году на «Хабре» писали про угон аккаунтов одного каршеринга.
Многие сайты защищены хуже, чем кажется. Специально для этой статьи я написал небольшой скрипт и попытался с его помощью подобрать шестизначный код подтверждения одной социальной сети. На удивление, сайт разрешил моему скрипту ввести больше ста разных кодов подтверждения — и только после этого сказал, что я слишком часто пытаюсь это сделать, и попросил подождать 10 минут.
Я не стал перезапускать скрипт. Но даже за одну попытку вероятность подбора — 100 к 1 000 000, то есть 0,01%. Если перебрать 10 тысяч номеров, один из них удастся подтвердить. А если длина кода всего четыре символа, то при тех же условиях хватит ста номеров, чтобы подобрать код к одному из них и получить доступ к подтвержденному аккаунту. После этого можно рассылать с него спам от чужого имени.
Анна, вы написали, что сообщения приходили с определенными интервалами, утром и вечером. Это увеличивает вероятность того, что речь идет о подборе кода. Мошенник подождал предложенное сайтом время и снова запустил свой скрипт. Возможно, пытались взломать ваши аккаунты или зарегистрировать новые на ваш номер телефона.
Как защититься. К сожалению, гарантированной защиты от такого взлома нет. Не исключено, что мошеннику удастся подобрать код и активировать аккаунт. Отдельная симкарта для интернета не поможет: мошенник все равно сможет зарегистрировать аккаунт на основную. Тут все зависит от безопасности конкретного сайта.
Если какие-то сайты вам важны или у вас уже есть там аккаунт, попробуйте сменить пароль или написать в техподдержку и описать ситуацию. Возможно, ваш аккаунт заблокируют и создадут новый или предложат какой-то другой вариант.
Утечка паролей
Время от времени в руки злоумышленников попадают базы данных с паролями пользователей различных сервисов — из-за взломов, утечек и социальной инженерии. Пароль также могут украсть с помощью троянских программ или вирусов. Более того, вы сами могли нечаянно передать пароль мошенникам, например на поддельном сайте.
Если у вас одинаковый пароль на многих сайтах, это дополнительный риск. Узнав ваш пароль к одному сайту, мошенники получают доступ и к остальным. Проверяют это тоже с помощью скрипта, который вводит украденный у вас пароль на всех сайтах подряд. Где-то пароль не подойдет, где-то аутентификация двухфакторная — сначала надо ввести пароль, потом код из смс. Если пароль подошел на нескольких таких сайтах, то и сообщений будет много.
Дальше код подтверждения попытаются подобрать по уже описанной схеме.
Как защититься. Используйте для каждого сайта уникальный пароль. Это не так сложно, как кажется: например, добавьте к вашему обычному паролю несколько первых или последних символов из названия сайта. Так вы хотя бы защититесь от автоматического перебора, если мошенники украдут один из паролей.
Маскировка важного смс
Последний вариант, который мне показался возможным, — попытка скрыть какое-то важное сообщение. Возможно, злоумышленник украл данные вашей карты и не хотел, чтобы вы увидели смс о снятии средств. Поток сообщений отодвинет нужное на второй экран, и есть шанс, что вы его пропустите и не заблокируете карту вовремя. Надеюсь, это не ваш случай.
Как защититься. Внимательно проверяйте все пришедшие сообщения и блокируйте смс от ненужных сервисов. Так проще убедиться, что сообщение от банка о снятии крупной суммы или от мобильного оператора о замене симкарты не затерялось в спаме.
Если увидели что-то подозрительное, пишите. Возможно, кто-то пытается украсть ваши деньги.
Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp
Представим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:
Мне потребовалось некоторое количество времени, чтобы осознать, как правильно это сделать. Моя задача — поделиться наработанным с вами в надежде, что это сэкономит кому-то времени.
Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.
Мы поговорим о тех изменениях, которые следует проделать в API, о том, как реализовать одноразовые пароли на сервере, как обеспечить безопасность (в т.ч. защиту от перебора) и в какую сторону смотреть при реализации это функциональности на мобильном клиенте.
Изменения в API
В сущности требуется добавить три метода в ваше API:
1. Запросить СМС с кодом на номер, в ответ — токен для последующих действий.
Действие соответствует CREATE в CRUD.
Если всё прошло, как ожидается, возвращаем код состояния 200.
Если же нет, то есть одно разумное исключение (помимо стандартной 500 ошибки при проблемах на сервере и т.п. — некорректно указан телефон. В этом случае:
HTTP код состояния: 422 (Unprocessable Entity), в теле ответа: PHONE_NUMBER_INVALID.
2. Подтвердить токен с помощью кода из СМС.
Действие соответствует UPDATE в CRUD.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
3. Форсированная отправка кода повторно.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
Особенности реализации одноразовых паролей
Вам потребуется хранить специальный ключ для проверки СМС-кодов. Существует алгоритм TOTP, который, цитирую Википедию:
OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром[1]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).
Грубо говоря, алгоритм позволяет создать одноразовый пароль, отправить его в СМС, и проверить, что присланный пароль верен. Причём сгенерированный пароль будет работать заданное количество времени. При всём при этом не надо хранить эти бесконечные одноразовые пароли и время, когда они будут просрочены, всё это уже заложено в алгоритм и вы храните только ключ.
Пример кода на руби, чтобы было понятно о чём речь:
Алгоритм описан в стандарте RFC6238, и существует масса реализацией этого алгоритма для многих языков: для Ruby и Rails, для Python, для PHP и т.д..
Строго говоря, Telegram и компания не используют TOTP, т.к. при регистрации там, вас не ограничивают по времени 30-ю секундами. В связи с этим предлагается рассмотреть альтернативный алгоритм OTP, который выдает разные пароли, базируясь на неком счётчике, но не на времени. Встречаем, HOTP:
HOTP (HMAC-Based One-Time Password Algorithm) — алгоритм защищенной аутентификации с использованием одноразового пароля (One Time Password, OTP). Основан на HMAC (SHA-1). Является алгоритмом односторонней аутентификации, а именно: сервер производит аутентификацию клиента.
…
HOTP генерирует ключ на основе разделяемого секрета и не зависящего от времени счетчика.
HOTP описан в стандарте RFC4226 и поддерживается тем же набором библиотек, что представлен выше. Пример кода на руби:
Безопасность решения
Первое непреложное само собой разумеющееся правило: ваше API, где туда-сюда гуляют данные и, самое главное, token должно быть завернуто в SSL. Поэтому только HTTPS, никакого HTTP.
Далее, самым очевидным вектором атаки является прямой перебор. Вот что пишут в параграфе 7.3 авторы стандарта HOTP (на котором базируется TOTP) на эту тему:
Truncating the HMAC-SHA-1 value to a shorter value makes a brute force attack possible. Therefore, the authentication server needs to detect and stop brute force attacks.
We RECOMMEND setting a throttling parameter T, which defines the maximum number of possible attempts for One-Time Password validation. The validation server manages individual counters per HOTP device in order to take note of any failed attempt. We RECOMMEND T not to be too large, particularly if the resynchronization method used on the server is window-based, and the window size is large. T SHOULD be set as low as possible, while still ensuring that usability is not significantly impacted.
Another option would be to implement a delay scheme to avoid a brute force attack. After each failed attempt A, the authentication server would wait for an increased T*A number of seconds, e.g., say T = 5, then after 1 attempt, the server waits for 5 seconds, at the second failed attempt, it waits for 5*2 = 10 seconds, etc.
The delay or lockout schemes MUST be across login sessions to prevent attacks based on multiple parallel guessing techniques.
Если кратко, то от прямого перебора алгоритм априори не защищает и надо такие вещи предотвращать на уровне сервера. Авторы предлагают несколько решений:
Отслеживать число неудачных попыток ввода кода, и блокировать возможность аутентификации по превышению некоторого максимального лимита. Лимит предлагают делать настолько маленьким, насколько ещё будет комфортно пользоваться сервисом.
Мнение, что можно полагаться только на то, что код живёт ограниченное число секунд, и будет безопасно, т.к. код сбрасывается — ошибочно. Даже, если есть фиксированное ограничение на число попыток в секунду.
Посмотрим на примере. Пусть код TOTP состоит из 6 цифр — это 1000000 возможных вариантов. И пусть разрешено вводить 1 код в 1 секунду, а код живёт 30 секунд.
Шанс, что за 30 попыток в 30 секунд будет угадан код — 3/100000
0.003%. Казалось бы мало. Однако, таких 30-ти секундных окон в сутках — 2880 штук. Итого, у нас вероятность угадать код (даже несмотря на то, что он меняется) = 1 — (1 — 3/100000)^2880
8.2%. 10 дней таких попыток уже дают 57.8% успеха. 28 дней — 91% успеха.
Так что надо чётко осознавать, что необходимо реализовать хотя бы одну (а лучше обе) меры, предложенные авторами стандарта.
Не стоит забывать и о стойкости ключа. Авторы в параграфе 4 обязывают длину ключа быть не менее 128 бит, а рекомендованную длину устанавливают в 160 бит (на данный момент неатакуемая длина ключа).
R6 — The algorithm MUST use a strong shared secret. The length of the shared secret MUST be at least 128 bits. This document RECOMMENDs a shared secret length of 160 bits.
Изменения в схеме БД
Итого, в модели (или в таблице БД, если угодно) надо хранить:
Особенности реализации мобильного приложения
В случае Android полученный токен можно хранить в SharedPreferences (почему не AccountManager), а для iOS в KeyChain. См. обсуждение на SoF.
Заключение
Вышеописанный подход позволит вам в рамках вашего стека технологий реализовать указанную задачу. Если вас есть соображения по этому подходу или альтернативные подходы, то прошу поделиться в комментариях. Аналогичная просьба, если у вас есть примеры документации к безопасным
Новое в блогах
Очень трудно встретить человека, который не пользуется мобильным телефоном. Сейчас, обойтись без гаджета трудно. Мы постоянно где-то регистрируемся, вводим свои персональные данные на каких-то ресурсах. Все эти сведения собираются в базы данных, которые продаются мошенникам. Да, такой теневой рынок существует и нет никакой гарантии, что сейчас мошенники не знают ваш номер телефона и данные паспорта.
Очередная схема заключается в использовании смс-бомберов. Мошенники через «слитую» базу данных пользователя получают данные паспорта человека и его номер телефона. Делают предварительные уточняющие звонки под различными предлогами, с целью подтверждения актуальности данных.
После такой «проверки» на телефон потенциальной жертвы приходит большое количество сообщений с проверочными кодами. Это регистрации на различных ресурсах, которые в целом, никого не интересуют. Это просто часть схемы. Количество сообщений разное, измеряется десятками.
Параллельно с регистрациями на «левых» сервисах, мошенники проходят регистрации на ресурсах микрофинансовых организаций, все так же на этого человека. Иными словами пытаются оформить займы и кредиты на «жертву».
Сервисы микрофинансовых организаций, поддерживают подтверждение аккаунта с помощью кода из смс. Посещение организации для получения займа не требуется, все можно сделать дистанционно. На карту можно получить займ.
Если человек вышел на контакт с мошенником, значит он напуган, он поверил мошенникам. Ему проще принять помощь от мошенников и делать, все что ему говорят.
После того как «жертва» отправит скриншоты, мошенникам ничего не остается, как завершить свою «миссию». Они получают займы, незаконно оформленные на этого человека.
Бесплатный виртуальный номер телефона для приема смс — 3 лучших сервиса
merchant 17.06.2020 270386
Иногда срочно бывает нужно зарегистрироваться в какой-нибудь сети. Взять, например, ВКонтакте. Она и многие подобные ей просят указать свой номер.
Но что делать, если вы не хотите указывать свой номер? Или он уже использовался для регистрации (на один номер нельзя регистрировать два аккаунта)? Или может всё настолько срочно, что нет времени покупать ещё одну симку?
Каковы бы ни были обстоятельства, выход есть всегда:
Что такое IP-телефония?
IP-телефония – это технология использования обычной телефонии через IP-протокол. Так как интернет-трафик дешевле использования телефонных сетей, IP–телефония тоже дешевле. К тому же, создаётся виртуальный номер телефона бесплатно. Хотя обычные номера подключают платно.
Кроме того, поток информации передаётся в цифровом виде и обязательно сжимается, чтобы сэкономить трафик и не передавать информационный мусор по каналам.
Пользоваться таким номером можно как с компьютера, так и со смартфона. Достаточно просто установить приложение и можно начать писать СМС или звонить. Ещё есть стационарные аппараты для IP-телефонии. К ним виртуальные номера тоже подключаются.
Можно ли зарегистрироваться в ВК без телефона
В 2020 году администрация социальной сети усложнила пользователям задачу: из 5-ти известных способов обойти привязку к телефонному номеру актуальными остались только два. Регистрация без телефона еще возможна, но чревата сервисными ограничениями. По состоянию на 2020 год больше не работают:
Неподтвержденные аккаунты действуют с ограничениями: отсутствует возможность переписки с мобильных устройств, не запрашивается проверочный ключ при попытке зайти с другого устройства. Основной проблемой анонимных профилей является невозможность восстановить страницу в случае взлома, так как отсутствует номер для привязки.
Бесплатный одноразовый номер для СМС
Есть сервисы, которые позволяют своим пользователям воспользоваться бесплатным номером, чтобы получить СМС с кодом. Вроде бы удобно, но есть одно «но»: бесплатных номеров мало.
Вы заходите на страницу сервиса (например, tempsms.ru). Обычно на главной странице сразу показаны номера. И на этой же странице показаны СМС, пришедшие на них. То есть каждый может увидеть ваш код. Это не самый безопасный вариант.
Второй существенный недостаток – вы должны успеть зарегистрироваться, пока номер никто не занял. Номера могут меняться каждый день или несколько раз в день. С точки зрения бюджета, это неплохо. С точки зрения анонимности тоже. Потому что если одним номером пользуется целая куча людей, выследить какого-то конкретного будет сложно. Особенно если вы воспользуетесь номером всего один раз и с прокси.
Если вам нужен одноразовый аккаунт, и вы не хотите тратить ни копейки, это идеальный вариант. Но если вам нужен профиль в ВК на долгое время, этот вариант не подойдёт – если вам нужно будет получить ещё одно СМС, вы его не получите. Потому что номер скорее всего уже изменится. Особенно учитывая, что это СМС может понадобиться только через месяцы.
Зачем использовать номер телефона при регистрации Вконтакте?
Кол-во спамных аккаунтов социальной сети росло в геометрической прогрессии, спам сыпался в личные сообщения, комментарии фотографиям и т.д. Для этих целей ежеминутно создавались тысячи фэйковых профилей, что нагружало сервера Вконтакте, делало соц сеть медленнее. Т.к. телефон есть у большинства, решение очевидное – один номер, один аккаунт. С 2012г регистрация в Вк без телефона невозможна, вскоре отключили функцию дозвона роботом на городские стационарные телефоны. Так же проблемой администрации был постоянный взлом страниц: зная логин и пароль, злоумышленники рассылали спам друзьям, забирали аккаунты.
Какие плюсы привязки к мобильному?
1) Включение двух-этапной авторизации, для входа на страницу потребуется ввести полученный код.
2) При попытке войти в ваш аккаунт и начать рассылку, мошеннику заблокируют страницу Вконтакте. Разморозьте страничку в свободное время смской.
3) При авторизации в аккаунт с чужого компьютера, мобильника, планшета, потребуется ввести проверочный код.
4) Легко сменить пароль если забыл старый.
Полный список преимуществ значительно шире, смело используйте функцию.
Персональный виртуальный номер
Безопаснее будет получить виртуальный номер в собственное пользование. Чтобы только вы могли читать свои СМС. Благо, создать виртуальный номер телефона бесплатно на 10 минут не так сложно и всё ещё анонимно. Только не забудьте заклеить веб-камеру скотчем, чтобы запись с вашим лицом не попала к злоумышленникам)
Есть несколько сервисов, которые этим занимаются:
Важно понимать тонкий момент терминов телефонии, что есть что. Нужен не виртуальный номер, в большинстве случаев с урезанной или отсутствующей функцией приёма смс, а полноценный “универсальный” номер, позволяющий принимать и смс. Либо виртуальный номер специально для смс.
Receive-sms-online
Преимущество Receive-sms-online заключается в том, что здесь содержатся телефоны всех стран, включая Россию и Украину. Для получения услуги не нужно регистрироваться. Просто нужно выбрать одно из доступных предложений.
Важно: учитывайте тот факт, что один и тот же номер может быть использован одновременно несколькими клиентами.
Несмотря на абсолютную доступность и бесплатные услуги, сайт имеет один большой недостаток. Информация на онлайн сим-карте доступна всем пользователям. Если вам необходима конфиденциальность, в этом случае стоит обратиться с другому ресурсу.
Номер на десять минут онлайн
Есть ещё один полезный сервис, который просто идеально подойдёт для регистрации в ВК или любой другой сети – sms–reg.com. Он платный, но ваши сообщения никто не прочтёт. Есть несколько вариантов оплаты:
Второе нас и интересует. То есть вы платите один раз, чтобы получить СМС и активировать профиль. Цены небольшие. Например, смс от VK стоит 12 рублей. Есть и поменьше (2 рубля за Telegram, 1 рубль за WhatsApp).
Для лентяев есть отдельная услуга – готовые аккаунты. Всё зарегистрируют за вас, но это стоит дороже (регистрация ВК за 25 рублей). Так можно создавать аккаунты просто пачками.
Как зарегистрироваться без телефона
Зарегистрироваться в ВК без телефона можно двумя способами: с помощью виртуального номера и пользовательского приглашения. Рассмотрим их подробнее.
Способ 1 — виртуальный номер
Временный номер без сим-карты можно получить как бесплатно, так и за небольшую сумму на специализированных сервисах. Система временно предоставляет заявителю номер телефона, который можно использовать для регистрации. Из бесплатных сервисов выделяют Onlinesim, Sms-online, Recieve-sms. Если все номера заняты или не работают, то можно обратиться к платным системам 5sim, Sms-activate. Стоимость варьируется в пределах 7-25 рублей.
В общем виде процедура представляет из себя следующее:
Выбираем бесплатный номер в сервисе Onlinesim
По окончании регистрации пользователь указывает в системе, что работа с номером завершена. В дальнейшем необходимо только запомнить контакт, так как он является логином для входа на сайт. Использовать его повторно для получения смс уже нельзя. Выделенный номер доступен на сайте в среднем 15-20 минут, затем потребуется повторная оплата или запрос.
Способ 2 — регистрация по приглашению
Этот способ по-другому называется двойной регистрацией. Для создания аккаунта используется уже задействованный номер телефона либо электронная почта. Для отправки приглашения требуется подтвержденный аккаунт. Что необходимо сделать:
Форма приглашения на странице поиска друзей
Страница входа в аккаунт ВК через сервис Apidog
В созданный профиль можно заходить с любого устройства, а также через официальную версию ВК. В ходе эксплуатации аккаунта пользователю придется периодически вводить капчу. Возможно потребуется подтвердить приглашение — пользователю поступит звонок с неизвестного номера с просьбой ввести последние 4 цифры телефона, к которому привязан первый аккаунт.
Text Now
В свободном доступе данного сайта находятся одноразовые и постоянные номера. То есть все услуги – бесплатны. Text Now имеет версию для рабочего стола и мобильное приложение. Также есть две версии сервиса: с рекламой – бесплатный, без рекламы – платная подписка.
Полученный временный номер можно использовать:
Регистрация на сайте занимает не более 5 минут. Пользователям стран СНГ придется использовать VPN и заходить под американским ip-адресом.
Несколько полезных советов от редакции
Напоследок стоит отметить ещё несколько моментов:
Сегодня многие сайты предлагают создать виртуальный номер онлайн, некоторые из них даже делают это бесплатно. Лучшие бесплатные сервисы описаны выше. С другой стороны, даже платные сайты делают то же самое довольно дёшево, но в них можно рассчитывать на лучшую техническую поддержку и присвоение телефонного номера на длительное время. Читателю только осталось определиться, каким из перечисленных сервисов воспользоваться.
Не получается зарегистрироваться на каком-то сайте или знаете ещё какие-то хорошие сайты? Напишите нам в комментариях.
Рейтинг статьи 5 / 5. Голосов: 1
Пока нет голосов! Будьте первым, кто оценит этот пост.