Миллионы подделок за копейки. Почему проверка по SMS больше не гарантирует, что вы человек

Исследователи обнаружили критическую уязвимость в основной линии защиты Интернета.

Одна из основных линий защиты от создания фейковых аккаунтов в Интернете оказалась легко уязвимой — обойти ее можно всего за несколько центов. Эксперты Кембриджского университета обнаружили, что систему проверки личности по SMS, используемую в социальных сетях и других онлайн-сервисах, можно широко обойти, используя временные номера, доступные на черном рынке.

Верификация телефона считается одним из основных способов предотвращения регистрации фейковых аккаунтов. Он предполагает отправку на мобильный телефон кода для активации, который должен гарантировать подлинность пользователя. Но в ходе исследования команда собрала данные о производительности четырех популярных сервисов — SMSActivate, 5Sim, SMShub и SMSPVA, которые предлагают одноразовые номера по цене от 10 до 30 центов за активацию. В некоторых случаях цена не превышает 10 центов, особенно для номеров из Великобритании, России и Индонезии. Самыми дорогими оказались номера из Японии и Австралии — до $5 и $3 соответственно.

В то же время некоторые сервисы демонстрируют явную эффективность. В ряде тестов авторы исследования смогли без проблем создать аккаунты, особенно на фоне того, что требования к верификации различаются между отдельными платформами. Например, WhatsApp существенно строже — активация там стоит около 3 долларов. Но для соцсети X цена в восемь раз ниже — около 8 центов. По мнению одного из авторов, это может быть связано с тем, что модерация X заметно слабее по сравнению с другими сайтами.

WhatsApp уже прокомментировал выводы, заявив, что приветствует любую работу по расследованию таких сервисов и что помимо номеров телефонов платформа использует другие технические и поведенческие признаки для выявления нарушений. Представители Х не ответили на запросы. Одна из служб, SMSPVA, заявила, что работает легально, соблюдает все правила и обслуживает не только тестировщиков, но и пользователей, заботящихся о конфиденциальности.. Другие упомянутые платформы отказались от комментариев.

Исследование сопровождается онлайн-панелью, на которой четко показаны цены на одноразовые номера по странам и платформам. По мнению одного из рецензентов научной работы, профессора Питтсбургского университета, опубликованные данные подчеркивают важность экономического аспекта дезинформации — ведь понимание стоимости обхода механизмов безопасности помогает оценить масштаб угрозы.

Таким образом, даже базовые меры аутентификации, которые долгое время считались вполне надежными, сегодня уже не обеспечивают необходимого уровня защиты от создания фейковых аккаунтов и распространения дезинформации. Стоимость обхода этих ограничений настолько мала, что злоумышленники могут действовать практически без ограничений.