Я случайно взломал чужой аккаунт TikTok. Это более распространено, чем вы думаете
Избегая повального увлечения TikTok в течение последних пяти лет, я, наконец, сдался два месяца назад и создал учетную запись для работы, чтобы следить за недавно запущенным профилем Euronews .
Я использовал свой номер телефона, чтобы зарегистрироваться, так как он был новым и практически не использовался ни для чего другого, и это была личная информация, о которой я заботился меньше всего.
Платформа прислала мне код входа в смс, я подписался на Euronews, пролистал пару видео на странице «для вас», а потом забыл про свой аккаунт на месяц или около того.
Процесс регистрации и входа был очень простым. Возможно, слишком легко.
Пару недель спустя, когда я в следующий раз вошел в свою учетную запись, имя моего профиля было другим, я разместил пять видео с кошками и дружил с кем-то по имени «Cookies Galaxy».
Как это было возможно? Я как будто вошел в чужой аккаунт.
Как это случилось?
По словам Т. Дж. Сэйерса, менеджера по анализу киберугроз Центра интернет-безопасности СНГ, это довольно распространенная проблема.
«Это своего рода косвенная вещь, когда кто-то получает новый номер и переходит со старого номера телефона, а оператор сотовой связи передает этот номер кому-то», — сказал он Euronews Next.
У меня был доступ к личной информации владельца учетной записи (который, по-видимому, был неактивен с 2020 года), включая список сделанных им комментариев, все их лайки, их личные сообщения и их адрес электронной почты.
«Похоже, что то, что произошло с вами, возможно, связано с тем, что учетная запись человека, в которую вы вошли, не имела никакого другого дополнительного шага для аутентификации (кроме номера телефона) при создании своей учетной записи, — объяснил Сейерс, — поэтому вы смогли используйте номер и войдите в учетную запись».
Хотя мой переход произошел непреднамеренно, по словам киберэксперта, попытки злоумышленников завладеть телефонными номерами участились с ростом популярности криптовалют в 2019 году.
Хакеры все чаще пытаются получить доступ к своим телефонам и заблокировать пользователей, чтобы получить контроль над важными банковскими счетами, включая цифровые кошельки.
«Некоторые люди активно пытаются скомпрометировать номера телефонов и адреса электронной почты, чтобы получить доступ к учетным записям для других гнусных целей», — сказал Сэйерс.
Есть два способа завладеть чужим номером или «подмена SIM-карты». Жесткая замена предполагает получение контроля над физической SIM-картой человека, в то время как программная версия подразумевает вызов оператора телефонной связи и выдачу себя за владельца номера с использованием информации, такой как дата рождения или адрес человека, которая находится в открытом доступе в Интернете.
«Люди даже не думают, что когда они публикуют материал в социальных сетях, он может быть использован злоумышленником», — сказал Сэйерс, добавив: «Что [мошенники] сделают, так это с помощью социальной инженерии этого агента службы поддержки передадут ваш номер в их устройство».
Что я могу сделать, чтобы защитить свою учетную запись?
В то время как пин-кода достаточно, чтобы избежать жесткой замены SIM-карты, предотвращение программной замены требует больше усилий.
Один из способов сделать это — обратиться к своему провайдеру с просьбой установить двухэтапный код с кодовой фразой или конкретным номером. Чтобы избежать захвата ваших социальных сетей, вы также можете использовать «блокировку регистрации» приложения, которая может связать вашу учетную запись с идентификаторами, не основанными на телефонных номерах.
Для TikTok самое простое решение — не регистрироваться по номеру телефона. Кроме того, вы также можете настроить двухфакторную аутентификацию (2FA), дополнительный пин-код, сгенерированный на месте, поверх вашего обычного пароля. TikTok все еще испытывает это, но 2FA уже используется в других социальных сетях, таких как Instagram.
Тем не менее, эксперты рекомендуют воздержаться от использования 2FA с текстовыми сообщениями, так как все еще может произойти непреднамеренный обмен.
«Как только это произойдет, (мошенники) могут пойти и сбросить все ваши учетные записи, потому что они получат все ваши коды двухфакторной аутентификации», — сказал Сэйерс.
«Электронная почта — хороший вариант, но еще лучше иметь какое-либо приложение на телефоне. Например, Google Authenticator, Microsoft Authenticator или Authy».
Несмотря на то, что аутентификаторы легко доступны, а такие компании, как Twitter, отказываются от текстовых сообщений, по словам Сэйерса, отраслевая поддержка все еще отстает.
«Это не совсем технологический следующий шаг, который нам нужен. Это скорее следующий шаг по внедрению. Мы все еще сильно отстаем, пытаясь отвлечь людей от текстовых сообщений», — сказал он.
Угроза «целевого фишинга»
Между тем, физические ключи безопасности, такие как Yubikey, которые необходимо подключить к компьютеру для аутентификации и которые в настоящее время считаются наиболее безопасной технологией аутентификации, становятся все более распространенными.
«Конечно, мы увидим, как субъекты угроз развиваются, и они начнут пытаться атаковать эти другие новые методы, а затем появятся новые технологии», — предупредил Сейерс, добавив, что ущерб, который может понести человек, будет зависеть от использование ими учетных записей в социальных сетях.
Репутационный ущерб, по мнению эксперта, может быть огромным, но также вероятен «целевой фишинг» — получение доступа к конфиденциальным данным путем выдачи себя за человека в гнусных целях.
«Мы живем в виртуальном мире, и часто, особенно после COVID, многие люди работают удаленно. Поэтому, если вы можете завладеть учетной записью в социальной сети, люди могут даже не догадываться, что вы связываетесь с ними через эту учетную запись, потому что это выглядит так, как будто вы — это они.
