что такое пасс код
Подозрительно: массовые смс с кодами активации от разных сервисов
С десятка номеров пришли однотипные смс, одно за другим — «Ваш код подтверждения…»:
Некоторые сообщения продублировались утром и вечером. Что это может быть?
Анна, кто-то мог отправить смс и вручную, вводя ваш номер на разных сайтах. Но более вероятно, что это работа автоматического скрипта — программного кода, который выполняет действия по заранее заданному алгоритму.
Попробую разобраться, чего хотел автор этого скрипта. Некоторые варианты выглядят безобидно, другие в будущем могут стоить вам денег. Вот что приходит на ум:
Обычная шутка
Начну с самого безобидного. Кто-то из знакомых, знающих ваш номер, решил ради шутки завалить ваш телефон сообщениями. Это делают с помощью программ, которые называются « смс-бомберы », или « смс-флудеры ». Не знаю, почему некоторые считают это смешным, но шутка достаточно популярная.
Как защититься. Если не планируете пользоваться сервисами, от которых пришли сообщения, просто заблокируйте имена отправителей.
Самозащита от мошенников
Создание баз номеров
Другая возможная цель такого скрипта — сбор информации. Скрипт пытается восстановить пароль на разных сервисах. Если процесс запустился, аккаунт с таким телефонным номером существует. Его вносят в базу номеров.
Использовать базу могут как угодно. Например, статистику о владельцах дисконтных карт одной торговой сети передадут в другую — и вы начнете получать от них уведомления об акциях и скидках. Или через некоторое время вам позвонит «сотрудник банка» и попытается выманить данные карты.
Как защититься. Существуют сервисы, которые подменяют телефонные номера, поэтому доля паранойи не помешает. Если вам звонят и просят срочно назвать три цифры с обратной стороны карты, чтобы заблокировать списание денег, не верьте — даже если это звонок с номера банка, указанного на карте. Положите трубку и перезвоните в банк.
Еще вариант защиты — завести отдельную симкарту для регистрации на сайтах и больше нигде ее не использовать. Если на этот номер позвонят или напишут из банка, вы будете точно знать, что это мошенник.
Попытка регистрации с подбором кода
Для рассылки спама с разводом и «мусорной» рекламой мошенники обычно создают аккаунты на чужое имя или используют взломанные. Смс с кодами активации могут говорить о том, что ваши аккаунты пытаются взломать — или зарегистрировать новые на ваш номер телефона.
При регистрации сервисы отправляют на указанный номер мобильного код проверки. Вводя этот код, вы подтверждаете, что номер принадлежит вам и вы соглашаетесь с регистрацией. У мошенника нет вашего телефона, но он может попытаться подобрать присланный вам код.
Чем длиннее код, тем сложнее это сделать. Например, если код состоит из четырех цифр, существует 10 тысяч разных вариантов, а если из шести — вариантов уже миллион.
Скрипт можно научить проверять все эти варианты и автоматически вводить коды проверки один за другим — от 000000 до 999999. Здесь все зависит от защиты сайта: ограничивает ли он количество попыток, если ограничивает, то сколько их. И можно ли повторить процедуру с тем же номером через какое-то время.
Чем больше попыток дает сайт, тем выше вероятность, что скрипт успеет подобрать код и подтвердить «вашу» учетную запись без доступа к телефону и тексту смс. Например, в 2017 году на «Хабре» писали про угон аккаунтов одного каршеринга.
Многие сайты защищены хуже, чем кажется. Специально для этой статьи я написал небольшой скрипт и попытался с его помощью подобрать шестизначный код подтверждения одной социальной сети. На удивление, сайт разрешил моему скрипту ввести больше ста разных кодов подтверждения — и только после этого сказал, что я слишком часто пытаюсь это сделать, и попросил подождать 10 минут.
Я не стал перезапускать скрипт. Но даже за одну попытку вероятность подбора — 100 к 1 000 000, то есть 0,01%. Если перебрать 10 тысяч номеров, один из них удастся подтвердить. А если длина кода всего четыре символа, то при тех же условиях хватит ста номеров, чтобы подобрать код к одному из них и получить доступ к подтвержденному аккаунту. После этого можно рассылать с него спам от чужого имени.
Анна, вы написали, что сообщения приходили с определенными интервалами, утром и вечером. Это увеличивает вероятность того, что речь идет о подборе кода. Мошенник подождал предложенное сайтом время и снова запустил свой скрипт. Возможно, пытались взломать ваши аккаунты или зарегистрировать новые на ваш номер телефона.
Как защититься. К сожалению, гарантированной защиты от такого взлома нет. Не исключено, что мошеннику удастся подобрать код и активировать аккаунт. Отдельная симкарта для интернета не поможет: мошенник все равно сможет зарегистрировать аккаунт на основную. Тут все зависит от безопасности конкретного сайта.
Если какие-то сайты вам важны или у вас уже есть там аккаунт, попробуйте сменить пароль или написать в техподдержку и описать ситуацию. Возможно, ваш аккаунт заблокируют и создадут новый или предложат какой-то другой вариант.
Утечка паролей
Время от времени в руки злоумышленников попадают базы данных с паролями пользователей различных сервисов — из-за взломов, утечек и социальной инженерии. Пароль также могут украсть с помощью троянских программ или вирусов. Более того, вы сами могли нечаянно передать пароль мошенникам, например на поддельном сайте.
Если у вас одинаковый пароль на многих сайтах, это дополнительный риск. Узнав ваш пароль к одному сайту, мошенники получают доступ и к остальным. Проверяют это тоже с помощью скрипта, который вводит украденный у вас пароль на всех сайтах подряд. Где-то пароль не подойдет, где-то аутентификация двухфакторная — сначала надо ввести пароль, потом код из смс. Если пароль подошел на нескольких таких сайтах, то и сообщений будет много.
Дальше код подтверждения попытаются подобрать по уже описанной схеме.
Как защититься. Используйте для каждого сайта уникальный пароль. Это не так сложно, как кажется: например, добавьте к вашему обычному паролю несколько первых или последних символов из названия сайта. Так вы хотя бы защититесь от автоматического перебора, если мошенники украдут один из паролей.
Маскировка важного смс
Последний вариант, который мне показался возможным, — попытка скрыть какое-то важное сообщение. Возможно, злоумышленник украл данные вашей карты и не хотел, чтобы вы увидели смс о снятии средств. Поток сообщений отодвинет нужное на второй экран, и есть шанс, что вы его пропустите и не заблокируете карту вовремя. Надеюсь, это не ваш случай.
Как защититься. Внимательно проверяйте все пришедшие сообщения и блокируйте смс от ненужных сервисов. Так проще убедиться, что сообщение от банка о снятии крупной суммы или от мобильного оператора о замене симкарты не затерялось в спаме.
Если увидели что-то подозрительное, пишите. Возможно, кто-то пытается украсть ваши деньги.
Самые популярные пасскоды на смартфонах
Автор программы Big Brother Camera Security для iPhone (программа автоматически фотографирует злоумышленника, укравшего ваш смартфон) добавил функцию защиты пасскодом. Поскольку интерфейс очень похож на стандартный интерфейс для ввода пасскода iPhone, можно логично предположить, что большинство числовых комбинаций совпадают.
В общей сложности было записано 204 508 пасскодов по числу пользователей программы, так что теперь у нас есть рейтинг самых популярных числовых комбинаций. Это хорошее дополнение к известным спискам самых популярных паролей в интернете.
Самые популярные комбинации: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212, 1998.
Частота каждого пасскода показана на диаграмме.
На десятку самых популярных комбинаций приходится около 15% всех пасскодов.
В отличие от обычных паролей, пасскоды интернациональны, так что список популярных комбинаций должен примерно совпадать во всех странах, за исключением некоторых английских четырёхбуквенных слов, таких как LOVE (5683).
Большинство популярных комбинаций следуют геометрическому шаблону, но есть и исключения. Кроме вышеупомянутого слова LOVE. Это комбинации с 1990 по 2000, все эти десять пасскодов входят в Топ-50 самых популярных. Дополнительно, все пасскоды с 1980 по 1989 входят в Топ-100.
Как видно из следующей диаграммы, любые даты с 1930 по 2020 имеют гораздо более высокую частоту, чем случайные цифры (****).
Техномагия
Любая достаточно развитая технология неотличима от волшебства.
Пасскоды Ingress Prime
Passcode (пасскод) Ingress Prime — ключ доступа, который можно ввести в специальном поле в интерфейсе приложения Ingress Prime или на сайте Intel. Ввод кода даёт некоторое количество AP, XM, а также XMP, резонаторы и некоторые редкие предметы. Иногда могут быть и другие бонусы, например, ключи от порталов. В общей сумме этот код можно ввести с некоторого числа аккаунтов, но не более 1 ввода на аккаунт.
Способ получения
На сайте Niantic Project ежедневно выкладывают загадки. Как правило, основные источники загадок — верхний календарик (Thought of the Day, TOTD) и блокнотик слева (Word of the Day, WOTD). Чуть реже загадки выкладывают на самой стене, как правило они зашифрованы в метаданных изображений, на самих изображениях, в аудиофайлах, и т.д.
Из первых двух источников (TOTD, WOTD) коды можно найти, заглянув в исходный код страницы. Как правило, там можно увидеть что-то вроде такого:
Ключом к разгадке подобных отрывков зачастую служит текст на странице, а также числа в атрибуте «style».
Структура пасскода
В общем случае код выглядит подобным образом:
Зачастую расшифровка требует некоторых знаний шестнадцатиричной системы счисления, эрудированности и логики.
Возраст пасскода часто можно определить по его схеме шифрования. Последние коды доступа (по состоянию на февраль 2015 г.) имеют следующий формат:
Короткая серия паролей, выпущенных в январе, соответствовала формату:
Однако большинство паролей, которые вы найдете в Интернете (по состоянию на август 2015 г.), будут иметь следующий формат:
Более старые могут быть типа X74F6O6YE9, creative91h, 5we7kurezet2s3u и другие. Срок действия многих из них истек.
Использование пасскода
Как уже говорилось выше, ключ можно использовать в интерфейсе программы или в веб-интерфейсе.
В интерфейсе Ingress Prime перейдите в Магазин, а затем прокрутите в самый низ:
Если есть возможность, то гораздо удобнее вводить пасскод в веб-интерфейсе Intel:
В случае успешного ввода ключа, можно увидеть подобное сообщение:
Passcode confirmed. Gained: _00 AP, _00 XM, L_ Resonator (N), L_ XMP Burster (N), Portal Shield (N)
В случае неудачного ввода, в веб-интерфейсе будет указана причина:
Вы также можете присылать нам пасскоды через комментарии к этой записи.
Самый интересный пасскод 2021 года!
В феврале Niantic выпустил специальный пасскод в честь посадки марсианского ровера Perseverance. В набор предметов входит ключ от портала в честь его предшественника, ровера Curiosity. Портал, впрочем находится не на Марсе, а в Калифорнии.
А ниже ещё несколько рабочих пасскодов 2021 года:
Приходят СМС от PassCode с кодом подтверждения: что это такое?
В последнее время в сети появилось огромное количество мошенников, в результате чего люди попросту стали бояться получать какие-либо сообщения на свой телефон. Однако, иногда смс все же могут быть полезными. Главное – научиться разбираться с тем, отправлены ли они реальной компанией или злоумышленников. К примеру, в последнее время люди стали жаловаться на то, что им стали приходить смс от PassCode с кодом подтверждения.
Что это такое?
Для начала следует отразить реальную деятельность компании. SMS PASSCODE – это один из технологических лидер ов в сфере разработки программного обеспечения для обеспечения двухфакторной идентификации. Обычно применяется в банковской сфере с целью подтверждения платежей. 
Компанией предлагается уже готовое решение с одноименным названием для реализации указанной технологии относительно типовых корпоративных систем. Примерами могут выступить:
Технологии, предлагаемые SMS PASSCODE, обеспечат возможность преодоления трудностей, которые имеются у традиционных методов используемой на текущий момент времени двухфакторной аутентификации. При этом в качестве промежуточного объекта будет выступать мобильный телефон.
Решения, предлагаемые компанией, способны обеспечить сеансовый процесс для входа в систему. Для этого будет выполнена проверка имени пользователя и его пароля. Эта пара будет сверена с одноразовым кодом, который высылается человеку на телефон.
Что же делать, если пришло сообщение от SMS PASSCODE?
Первое, на что следует обратить внимание – это наличие или отсутствие обращения в банк со стороны самого пользователя. К примеру, человек захотел совершить какую-либо покупку в Интернет-магазине. Он выбрал нужный товар, оформил заказ и перешел к этапу оплаты.
Когда пользователь введет номер карты, магазин должен списать с нее средства за заказ. Чтобы сделать это, потребуется подтверждение. Для этого как раз и высылается смс. У некоторых банка в графе «отправитель» значится не их название, а «SMS PASSCODE». В этом случае беспокоиться не о чем. Можно смело вводить код.
Однако, если подобных действий пользователь не выполнял и сообщение пришло просто так, следует обратиться в техническую поддержку финансовой организации, в которой он обслуживается.
Кроме того, рекомендуется также проверить смартфон антивирусной программой. Есть вероятность, что на него попало вредоносное ПО или вирус, которые пытаются подобраться к деньгам на карте.