روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها کدامیک از شما از voicemail استفاده می‌کند؟ شاید خیلی‌ها بگویند «هیچکس». این پاسخ هم می‌تواند درست باشد و هم اشتباه. "درست" از آن جهت که دیگر خیلی‌ها از voicemail استفاده نمی‌کنند؛ با این حال مشترکین موبایل این سرویس را دارند. گرچه شاید خیلی از اوقات نادیده گرفته شود اما همچنان از عملکرد خوبی برخوردار است.

به یاد داشته باشید: اینکه شما از voicemail خود استفاده نمی‌کنید بدین معنا نیست که افراد دیگر نیز استفاده نمی‌کنند. مارتین ویرگو، محقق امنیتی کنوانسیونِ26 DEF CON در گزارش خود تحت عنوانِ «دستکاریِ اکانت‌های آنلاین از طریق کِرَک کردن سیستم‌های voicemail» نشان داد که ممکن است voicemail برای افرادی که سعی در هک کردن اکانت‌های آنلاین دارند جولانگاه خوبی باشد.

در حقیقت، اکثر اپراتورها نه تنها از گوشی شما که همچنین با استفاده از یک شماره تلفن خارجی (که در آن دسترسی با یک پین محافظت می‌شود)، میل‌باکس صوتی‌تان را مورد دسترسی قرار می‌دهند. با این حال، پین‌های voicemail اغلب چندان امنیتی ندارند. بسیاری از مشترکین از کدهای پیش‌فرضِ خود اپراتور  استفاده می‌کنند که معمولاً یا رقم‌های آخر شماره تلفن‌شان است و یا کدهایی ساده و قابل حدس همچون 1111 و یا 1234.

علاوه بر این، حتی اگر مشترک به خود زحمت داده و پین را عوض کند، باز هم امکان حدس زدن آن بسیار بالاست: تحقیق دیگری نیز نشان می‌دهد وقتی صحبت از ساخت پین‌ها به میان می‌آید افراد، خلاقیت و هوشِ کمتری را نسبت به ساخت رمزعبور به خرج می‌دهند.

نخست اینکه پین احتمالاً شامل چهار رقم می‌شود؛ حتی اگر به لحاظ فنی امکان طولانی‌تر بودن آن نیز وجود داشته باشد. دوم اینکه بسیاری از کاربران مایل‌اند چهار رقم‌ یکسان -که حفظ کردنش آسان است- و یا ترکیب‌هایی همچون 1234، 9876، 2580 (ردیفِ عمودی میانی روی کیبورد گوشی) و غیره را انتخاب کنند. پین‌هایی که با اول سال تولد میلادی شروع می‌شوند از همه بیشتر میان کاربران محبوبیت دارند. اگر احیاناً کسی متوجه چنین پینی شود، می‌تواند سریع‌تر و راحت‌تر میل‌باکس صوتی شما را هک کند.

نیازی نیست تمامی ترکیب‌ها را به طوردستی مورد بررسی قرار دهید- این کار می‌تواند توسط اسکریپتی انجام شود که با شماره‌ی voicemail تماس می‌گیرد و ترکیب‌های مختلفی را وارد می‌کند. شاید با خود بگویید «که چه؟.. من هیچ چیز در voicemail  خود ندارم»  .

نحوه‌ی هک کردن voicemail از طریق پی‌پال و واتس‌اپ

بسیاری از بزرگ‌ترین سرویس‌های آنلاین، حین ریستِ رمزعبور، با شماره‌ی تلفن‌تان که در پروفایل مشخص است تماس گرفته و کد تأییدیه را ارائه می‌دهند.

کار مهاجم صرفاً این است که از پینِ voicemail سر درآورده و کمین بکشد تا تلفن قربانی یا خاموش و یا از محدوده خارج شود (برای مثال، در حالت پرواز). سپس تنها شروع می‌کنند به ریست کردن پسوورد در این سرویس آنلاین و همچنین انتخاب گزینه‌ی احراز هویتی ساده که آن‌ها را یکراست به voicemail هدایت می‌کنند. مارتین ویرگو نشان می‌دهد چطور این روش می‌تواند برای سرقت اکانت‌های واتس‌اپی مورد استفاده قرار گیرد.

برخی منابع آنلاین مراحل تأییدیه‌ی مختلفی اتخاذ می‌کنند: این سرویس شماره تلفنِ اکانت را مجدداً می‌گیرد و کاربر را مجاب می‌کند تا شماره‌هایی را که روی صفحه‌ی ریست پسوورد به عنوان تأیید ظاهر می‌شوند وارد کند. با این حال با کمک ترفندی ساده می‌توان میانبر زد: تنظیم پیام خوشامدگوییِ voicemail روی ثبت آهنگ‌های شماره‌گیر که به ارقام کدِ ریست مربوط می‌شوند.

یکی از آن دسته سرویس‌های آنلاین که چنین سیستم تأییدی دارد پی‌پال است. مارتین ویرگو موفق شد حتی آن را نیز کِرَک کند.

آنچه در فوق گفته شد تنها چند مثال است. در حقیقت، بسیاری از سرویس‌ها به منظور تأیید ریست پسوورد و یا انتقال کد احراز هویت دو عاملی (تنها یک بار) از تماس صوتی اتومات استفاده می‌کنند.

راه‌های مقابله با هک‌های مبتنی بر voicemail چیست؟

• سعی کنید voicemail را غیر فعال کنید زیرا به هر صورت کارایی پایینی دارد.
• اگر به voicemail نیاز ندارید از یک پین امنیتی استفاده کنید. سپس ترکیب اعداد باید سخت باشند جوری که نتوان حدسشان زد (و ترجیحاً به صورت رندوم انتخاب شوند).
• شماره تلفنِ درگیر با اکانت‌های آنلاین‌تان را در اختیار قرار ندهید. هرچه هویت آنلاین‌تان با شماره‌ی تلفن ارتباط کمتری داشته باشد بهتر است.
• سعی کنید اگر این احراز هویت از نوع دو‌عاملی نیست، به هیچ وجه شماره‌ی تلفن خود را درگیر یک سرویس آنلاین نکنید.
• از احراز هویت‌های دوعاملی استفاده کنید؛ اپ‌هایی همچون Google Authenticator و یا دستگاه سخت‌افزاری همچون YubiKey ایده‌آل هستند.