Специалисты компании Symantec сообщили о том, что существует несложный способ взломать регистрацию пользователя в сервисе, даже, если используется привязка к номеру мобильного телефона.
Причем отмечается, что методика уже используется злоумышленниками для “вскрывания” почтовых ящиков Gmail, Yahoo! и Microsoft.
Чтобы провернуть этот трюк достаточно знать адрес электронной почты и номер мобильного пользователя. Запускается процедура восстановление пароля и выбирается вариант получения информации на телефон. Пользователь получает SMS из сервиса, предполагая, что произошел какой-то сбой в системе. Однако злоумышленники отправляют фальшивое сообщение, якобы исходящее от того же сервиса.
Пользователя просят ответить на данное SMS с полученным ранее верификационным кодом, поскольку обнаружена некая подозрительная активность, связанная с его учетной записью.
Таким образом мошенники получают доступ к регистрации ничего не подозревающего пользователя и меняют пароли.
Специалисты Symantec обращают внимание пользователей на то, что необходимо очень тщательно относится к любой информации получаемой в рамках восстановления эккаунтов. Любая якобы случайная активность в этом контексте должна вызывать подозрение и продуманную реакцию.
Причем отмечается, что методика уже используется злоумышленниками для “вскрывания” почтовых ящиков Gmail, Yahoo! и Microsoft.
Чтобы провернуть этот трюк достаточно знать адрес электронной почты и номер мобильного пользователя. Запускается процедура восстановление пароля и выбирается вариант получения информации на телефон. Пользователь получает SMS из сервиса, предполагая, что произошел какой-то сбой в системе. Однако злоумышленники отправляют фальшивое сообщение, якобы исходящее от того же сервиса.
Пользователя просят ответить на данное SMS с полученным ранее верификационным кодом, поскольку обнаружена некая подозрительная активность, связанная с его учетной записью.
Таким образом мошенники получают доступ к регистрации ничего не подозревающего пользователя и меняют пароли.
Специалисты Symantec обращают внимание пользователей на то, что необходимо очень тщательно относится к любой информации получаемой в рамках восстановления эккаунтов. Любая якобы случайная активность в этом контексте должна вызывать подозрение и продуманную реакцию.