Миллионы фейков за копейки. Почему SMS-подтверждение больше не гарантирует, что вы человек
NewsMakerИсследователи обнаружили критическую уязвимость в главной линии обороны интернета.
Один из ключевых рубежей защиты от создания поддельных аккаунтов в интернете оказался легко уязвим — обойти его можно всего за несколько центов. Специалисты Кембриджского университета выяснили , что система подтверждения личности через SMS, которую используют соцсети и другие онлайн-сервисы, может массово обходиться с помощью временных номеров, доступных на сером рынке.
Телефонная верификация считается одним из основных способов предотвращения регистрации фейковых аккаунтов. Она предполагает отправку кода активации на номер мобильного телефона, что должно гарантировать подлинность пользователя. Однако в ходе исследования команда собрала данные о работе четырёх популярных сервисов — SMSActivate, 5Sim, SMShub и SMSPVA, которые предлагают одноразовые номера по цене от 10 до 30 центов за активацию. В некоторых случаях стоимость не превышала и 10 центов, особенно для номеров из Великобритании, России и Индонезии. Самыми дорогими оказались номера из Японии и Австралии — до 5 и 3 долларов соответственно.
При этом некоторые сервисы демонстрируют явную эффективность. В ряде тестов авторам исследования удавалось создавать аккаунты без сбоев, особенно на фоне того, что требования к проверке у разных платформ отличаются. Так, WhatsApp оказался заметно строже — активация там обошлась примерно в 3 доллара. А вот у соцсети X ценник оказался в восемь раз ниже — около 8 центов. По словам одного из авторов, это может быть связано с тем, что модерация у X заметно слабее по сравнению с другими площадками.
Компания WhatsApp уже прокомментировала результаты исследования, заявив, что приветствует любую работу по изучению подобных сервисов и что, помимо номера телефона, платформа использует другие технические и поведенческие сигналы для выявления нарушений. Представители X на запросы не ответили. Один из сервисов, SMSPVA, заявил, что действует легально, соблюдает все правила и обслуживает не только тестировщиков, но и пользователей, заботящихся о конфиденциальности. Остальные упомянутые платформы воздержались от комментариев.
Исследование сопровождалось созданием онлайн-панели, на которой наглядно представлены цены на одноразовые номера по странам и платформам. По мнению одного из рецензентов научной работы, профессора из Университета Питтсбурга, опубликованные данные подчёркивают важность экономического аспекта дезинформации — ведь понимание стоимости обхода защитных механизмов помогает оценить масштаб угрозы.
Таким образом, даже базовые меры аутентификации, которые долгое время считались достаточно надёжными, сегодня уже не обеспечивают необходимого уровня защиты от создания фейковых аккаунтов и распространения дезинформации. Стоимость обхода этих ограничений настолько мала, что злоумышленники могут действовать практически без ограничений.
Один из ключевых рубежей защиты от создания поддельных аккаунтов в интернете оказался легко уязвим — обойти его можно всего за несколько центов. Специалисты Кембриджского университета выяснили , что система подтверждения личности через SMS, которую используют соцсети и другие онлайн-сервисы, может массово обходиться с помощью временных номеров, доступных на сером рынке.
Телефонная верификация считается одним из основных способов предотвращения регистрации фейковых аккаунтов. Она предполагает отправку кода активации на номер мобильного телефона, что должно гарантировать подлинность пользователя. Однако в ходе исследования команда собрала данные о работе четырёх популярных сервисов — SMSActivate, 5Sim, SMShub и SMSPVA, которые предлагают одноразовые номера по цене от 10 до 30 центов за активацию. В некоторых случаях стоимость не превышала и 10 центов, особенно для номеров из Великобритании, России и Индонезии. Самыми дорогими оказались номера из Японии и Австралии — до 5 и 3 долларов соответственно.
При этом некоторые сервисы демонстрируют явную эффективность. В ряде тестов авторам исследования удавалось создавать аккаунты без сбоев, особенно на фоне того, что требования к проверке у разных платформ отличаются. Так, WhatsApp оказался заметно строже — активация там обошлась примерно в 3 доллара. А вот у соцсети X ценник оказался в восемь раз ниже — около 8 центов. По словам одного из авторов, это может быть связано с тем, что модерация у X заметно слабее по сравнению с другими площадками.
Компания WhatsApp уже прокомментировала результаты исследования, заявив, что приветствует любую работу по изучению подобных сервисов и что, помимо номера телефона, платформа использует другие технические и поведенческие сигналы для выявления нарушений. Представители X на запросы не ответили. Один из сервисов, SMSPVA, заявил, что действует легально, соблюдает все правила и обслуживает не только тестировщиков, но и пользователей, заботящихся о конфиденциальности. Остальные упомянутые платформы воздержались от комментариев.
Исследование сопровождалось созданием онлайн-панели, на которой наглядно представлены цены на одноразовые номера по странам и платформам. По мнению одного из рецензентов научной работы, профессора из Университета Питтсбурга, опубликованные данные подчёркивают важность экономического аспекта дезинформации — ведь понимание стоимости обхода защитных механизмов помогает оценить масштаб угрозы.
Таким образом, даже базовые меры аутентификации, которые долгое время считались достаточно надёжными, сегодня уже не обеспечивают необходимого уровня защиты от создания фейковых аккаунтов и распространения дезинформации. Стоимость обхода этих ограничений настолько мала, что злоумышленники могут действовать практически без ограничений.