Некоторые компании позволяют перенаправлять SMS-сообщения на другой номер, не запрашивая разрешения для данной операции и даже не уведомляя пользователя.
https://www.securitylab.ru/upload/ib...2ee0217ec8.png
Специалист издания Motherboard обнаружил опасную проблему, эксплуатация которой позволяет злоумышленникам тайно перенаправлять на свой номер SMS-сообщения жертв путем приобретения соответствующих услуг у телекоммуникационных компаний.
В рамках атаки преступники пользуются услугами компаний, которые помогают предприятиям проводить SMS-маркетинг и массовую рассылку сообщений, чтобы незаметно перенаправлять текстовые сообщения и получать доступ к любым кодам двухфакторной авторизации или ссылкам в текстовых сообщениях.
Некоторые компании позволяют перенаправлять SMS-сообщения на другой номер, не запрашивая разрешения для данной операции и даже не уведомляя пользователя о том, что его текстовые сообщения теперь отправляются кому-то другому.
Исследователь Джозеф Кокс (Joseph Cox) попросил своего знакомого ИБ-эксперта атаковать его номер и перенаправить SMS-сообщения на другой номер. Специалист воспользовался сервисом компании Sakari, и подобная атака обошлась ему всего в $16.
«Я использовал предоплаченную карту, чтобы приобрести месячную подписку за $16, а затем получил возможность похитить номер, просто заполнив форму LOA (Letter of Authorization) фальшивой информацией», — пояснил эксперт.
Letter of Authorization представляет собой документ, в котором говорится, что подписывающая сторона имеет право менять телефонные номера.
Хакеры нашли множество способов использования SMS и сотовых систем для доступа к чужим сообщениям — подмена SIM-карты и атаки на сети SS7 широко используются уже несколько лет, а иногда даже используются против высокопоставленных целей. Подмену SIM-карты довольно легко обнаружить, поскольку телефон отключается от сотовой сети, но с перенаправлением SMS может пройти довольно много времени, прежде чем пользователь заметит атаку, предоставляя злоумышленникам возможность скомпрометировать учетные записи.

для всех любознательных комент от Sakari:
"Мы не видели ранее случаев преднамеренного злоупотребления поддержкой текста, и ваш исследователь играл роль плохого актера в настоящей компании, что является необычным вектором атаки. Но мы признательны вам за то, что вы обратили на это наше внимание, и обновили наш размещенный процесс обмена сообщениями, чтобы уловить это в будущем », - продолжил он. Злонамеренные инсайдеры или клиенты являются обычным устоявшимся средством атаки, будь то сотрудники-мошенники или клиенты, злоупотребляющие предоставленным им доступом.
из-за таких журналюг и тестировщиков подыхают последние возможностиhttps://txgate.io/images/smilies/ho.png
</br></br>

А чё так можно что ли ? https://txgate.io/images/smilies/yoba.png

А чё так можно что ли ?
уже нет, такие конторы редкость и можно только на первых парах, но факт остается фактом они появляются, можно конечно еще хитрее сделать и пойти выше по цепочке к корню - основному поставщику услуг предоставляющему доступ, но это уже другая история и деньги.