В даркнете появилось объявление о продаже трёх терабайт данных, которые, по утверждению автора, были похищены у двух крупных российских SMS-агрегаторов. Пользователь под ником ByteToBreach заявляет, что в утечке содержатся имена, номера телефонов, IP-адреса, банковские уведомления, одноразовые коды подтверждения и другая чувствительная информация.
Хакеры заявили о взломе всех граждан России: у них есть возможность перехватывать все СМС и писать от лица госорганов
Утечка пока не подтвердилась, поэтому паниковать рано.
Freepik
В описании к публикации говорится, что «часть информации была стёрта перед эксфильтрацией», из-за чего в инфраструктуре компаний могут возникнуть сложности. В качестве доказательства автор приложил ссылку на файлообменник и оставил контакты в Telegram, Signal и электронной почте. Однако на данный момент достоверность этих данных официально не подтверждена.
Эксперты отмечают: если хакеры не врут, под ударом миллионы россиян. Получив доступ к таким данным, злоумышленники смогут перехватывать или подменять 2FA-коды и ссылки для сброса паролей, что открывает путь к массовому захвату аккаунтов — от банковских приложений и почты до мессенджеров, криптокошельков и соцсетей. Например, после взлома Twilio в 2022 году пострадали 163 компании, включая Signal, где оказались под угрозой около 1900 аккаунтов.
Еще через личный кабинет агрегатора можно рассылать сообщения с доверенных имен отправителей или коротких номеров (short code / альфа-ID), что позволяет обходить спам-фильтры и эффективно запускать фишинговые или мошеннические кампании, включая атаки типа BEC (Business Email Compromise).
Также базы номеров, тексты сообщений и метаданные (время отправки, получатели, содержание) могут использоваться для целевого фишинга, шантажа или слежки. Подобное уже происходило при утечке данных роутера Syniverse — тогда под угрозой оказались миллиарды SMS.
Наконец, доступ к инфраструктуре провайдера может применяться для отслеживания пользователей. Так, в скандале с компанией Mitto выяснилось, что её сервисы использовались для мониторинга конкретных лиц.
Звучит так, будто каждый россиянин находится под колпаком, а его банковские счета могут в любой момент опустошить. И риски действительно есть. Поэтому в ближайшие дни следует руководствоваться несколькими правилами:
- откажитесь от SMS как основного способа подтверждения. Вместо этого используйте приложение-аутентификатор (Google Authenticator, Authy, 1Password, Bitwarden). SMS сейчас самый уязвимый канал;
- проверьте, где привязан ваш номер: почта, банк, соцсети, биржи. Убедитесь, что для восстановления есть альтернативы: резервные коды, e‑mail или приложение-аутентификатор;
- запишите резервные коды и храните их офлайн;
- поменяйте пароли в ключевых сервисах, включите сложные и уникальные коды доступа. Также можно юзать менеджер паролей — это безопасно и удобно;
- отключите автоматическое восстановление по номеру там, где можно, и добавьте адрес электронной почты как запасной вариант.
А еще — не паникуйте. Утечку никто не подтвердил, поэтому информация из даркнета может оказаться скамом для тех, кто хочет подзаработать на конфиденциальной информации. Верить преступникам — плохая идея. Особенно, когда они скрываются под личинкой анонимности.