Powszechnie wiadomo, że ludzie od lat korzystają z usług anonimizowanej poczty e-mail. Ukrywają swój prawdziwy adres lub zastępują go całkowicie innym w celu tajnej korespondencji lub po prostu nie chcą podawać swojego prywatnego adresu w różnych portalach wymagających uwierzytelnienie się mailem. Pytanie jak wiele osób wie, że podobne usługi istnieją w przestrzeni telefonów i SMS? A ile osób wie jak bardzo niebezpieczne mogą być?

Po co w ogóle korzystać z czegoś takiego i ukrywać swój numer telefonu? Mianowicie, wiele osób nie chce podawać prawdziwego numeru w serwisach Internetowych. Boi się wycieku z bazy danych lub nie chce, aby jej numer został umieszczony na dziesiątkach list marketingowych. W razie czego, dużo łatwiej jest też zmienić e-mail niż numer telefonu.


Jakie jest na to rozwiązanie?

W tym miejscu pojawiają się anonimowe usługi SMS online. Są to strony internetowe, które przekierowują wiadomości SMS na nasz numer, które w rzeczywistości były wysłane do kogoś innego. Jak to się odbywa?

Odwiedzamy witrynę typu „bezpłatny numer tymczasowy” i wybieramy jeden z kilkunastu dostępnych numerów tymczasowych. Zwykle oferowane są numery regionalne, więc możemy poszukać jakiegoś z naszego regionu PL.

Następnie używamy tego numeru dla dowolnej usługi online, do której jest potrzebny. Na przykład kody potwierdzające rejestracje, kody uwierzytelniające, potwierdzenia spotkań, weryfikacja kont w mediach społecznościowych, loginy internetowe czy numer kontaktowy dla kuriera.

W tym momencie zastanawiasz się „Jak właściwie odbierać wiadomości na ten numer? Nie jestem jego właścicielem i nie jest powiązany z moim telefonem. Na stronie nie ma również rejestracji ani logowania, aby śledzić wiadomości wysyłane w moją stronę. O co tu chodzi? Odpowiedź dalej.

Każdy tymczasowy numer telefonu komórkowego ma swoją własną stronę (podstronę) w witrynie, z której go otrzymujesz. Wszystkie wiadomości SMS wysyłane na ten numer są dla osób po drugiej stronie, które chcą otrzymać swój kod, przepustkę, login lub potwierdzenie.

Te wiadomości, dla wszystkich tych osób, wyświetlają się publicznie na stronie numeru!

Niektóre serwisy są tak popularne, że mają własną podstronę w serwisie z numerami tymczasowymi. Na przykład może istnieć strona Amazon dla wszystkich wiadomości Amazon, strona Tinder dla wiadomości Tinder itp. Niezależnie od tego, czy jest to strona specyficzna dla usługi, czy bardziej ogólna, działają one w ten sam sposób – pojawia się cała masa wiadomości SMS i musimy dowiedzieć się, która z nich jest ta nasza. Dziwnie to brzmi, ale wiele osób korzysta z takich usług.

Większość dostawców animizowania SMS twierdzi, że wiadomości są wysyłane na portal praktycznie natychmiast, jednak w rzeczywistości wygląda to zupełnie inaczej, ponieważ jeden numer jest zwykle obciążony wieloma żądaniami jednocześnie.
Poza tym, jeśli pół tuzina ogólnie wyglądających wiadomości z kodem weryfikacyjnym Instagrama dotrze w tym samym czasie, wszystkie na ten sam numer – który jest ten nasz?


Co z tą prywatnością?

Strony internetowe, które omawialiśmy, przynajmniej odnoszą się do faktu, że wysyłane wiadomości nie są prywatne i każdy może je zobaczyć. Czasami nawet widzimy czerwone ostrzeżenie na stronie usługi, żeby nie korzystać z niej do wrażliwej komunikacji. Czujemy więc lekki dysonans, kiedy ludzie używają usług anonimizacji, aby zachować prywatność jednocześnie udostępniając swoje wiadomości innym użytkownikom.

Poniżej przykład listy wiadomości SMS z jednej z popularnych stron:

źródło: malwarebytes.com

Fanatycy bezpieczeństwa na taki widok jak powyżej złapaliby się za głowę, ale z drugiej strony nie ma praktycznego sposobu, by zrobić z takimi danymi coś złego. Konto (konta) może należeć do kogokolwiek i bez niczego innego, co można zidentyfikować w wiadomości, jest to po prostu losowy kod, z którym nie można go powiązać. Potencjalny atakujący nie wie: które konto? jaki adres e-mail? nazwa użytkownika? I tak dalej.

Problem polega na tym, że mamy tutaj setki wiadomości tekstowych publikowanych online, które zawierają wiersz „zachowaj ten kod i nie udostępniaj go nikomu”. W założeniu mają być one tajemnicami, ale jeśli umieszczamy je na publicznej stronie internetowej, już nie są.


Baza danych dla socjotechniki

Czasami jednak wiadomości SMS od naszych dostawców usług mogą być bardziej niebezpieczne. Poniżej kilka przykładów, aby zobrazować sytuacje:

– „Twoja wizyta w [placówce medycznej] w dniu [data i godzina] została potwierdzona”

– „Kliknij, aby wrócić do swojego [konta]”

– „Poprosiłeś o nowe hasło. Kliknij tutaj, aby go zresetować”

– „Numer identyfikacyjny Twojego planu płatności to [liczba] dla [x] kwoty”


Niektóre z nich podnoszą kilka flag ostrzegawczych. Dają już konkretne informacje, które potencjalny cyberprzestępca lub po prostu przestępca może wykorzystać w przygotowanym ataku socjotechnicznym.
Ankieta medyczna może potencjalnie zawierać dane odbiorcy przed wypełnieniem formularza. Oznacza to, że ktoś, kto kliknie w link z SMS może zobaczyć rzeczy, których nie powinien. Wizyta w placówce medycznej daje jasną lokalizację i godzinę/datę, gdzie dana osoba będzie się znajdować.


Podsumowanie

Strony te zachęcają do korzystania w celu zapewnienia sobie nieco większego bezpieczeństwa i prywatności. W skrócie – tak to sprzedają. Musimy być w tej kwestii ostrożni i nie korzystać z jednorazowych usług mobilnych do czegokolwiek wrażliwego. Jeśli chodzi nam tylko o przekierowanie spamu czy treści marketingowych, to nie powinno być to nic szkodliwego.

Nie ma gwarancji, że niektóre witryny po prostu nie będą utrzymywać wiadomości online na zawsze. Ten rodzaj usług istnieje już od kilku lat, ale wydaje się, że zyskuje na popularności. Jeśli potrzebujesz go użyć, zastanów się, czy to, co jest wysyłane do Ciebie jako prywatnego odbiorcy, może trafić do Internetu.

Podziel się z innymi tym artykułem!