Вы здесь

Риски взлома и хищения средств через SMS-аутентификацию
Криптовалюта

SMS-аутентификация и телефоны — это то, от чего криптотрейдерам и криптобизнесменам, да и любым адекватным людям с высокой потребностью к конфиденциальности, стоит держаться подальше.Итак, риски перехвата SMS состоят в том, что злоумышленник, перехватив сообщение, способен завладеть вашими цифровыми аккаунтами, где номер телефона используется в качестве одной из форм аутентификации или восстановления доступа.

 

Основные варианты взлома:

Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Прослушка. Суровые реалии правоохранительной системы в странах постсоветского пространства показывают крайне высокий уровень коррупции среди правоохранителей. Выражение “все покупается и все продается”, к сожалению, актуально и в этой сфере. Силовики используют обыски, изъятия и прослушку как одну из форм давления на бизнес, а иногда и для откровенного рейдерства и грабежа. 

простой пример: Следователь А заводит уголовное дело по выдуманному заявлению Гражданина Ш о якобы мошенничестве на доске объявлений в интернете. Гражданин Ш утверждает, что неизвестный ему мошенник запросил у него предоплату за покупку IPhone 7 на кошелек QIWI, привязанный к номеру телефона +38 093…, получил деньги и ушел в закат. Следователь Аклассифицирует данное действие по статье 190 ч.3 УК Украины “Мошенничество с использованием ЭВМ”. В рамках уголовного дела Следователь А получает разрешение от следственного судьи на проведение негласных следственных действий. Далее некий “неизвестный” перехватывает SMS на указанном номере и восстанавливает доступ к почте Gmail Свидетеля К, которому на самом деле принадлежит номер +38093… Дальше магическим образом “неизвестная личность”, используя форму восстановления пароля на бирже, получает полный контроль над финансами Свидетеля К и тоже “уходит в закат”. Гражданин Ш внезапно заявляет, что ему удалось полюбовно уладить конфликт с обидчиком. Следователь А закрывает уголовное дело в связи с отсутствием состава преступления (есть много вариантов, как еще это сделать). Свидетель К, обнаружив пропажу крипты, пишет заявление в полицию о пропаже, но получает отказ о внесении данных в единый реестр досудебного расследования, так как криптовалюта — не деньги, актив или товар, и украсть ее с точки зрения УПК невозможно. В этом случае адвокаты советуют Свидетелю К написать заявление о факте взлома почты (биржи, кошелька). Далее следствие заходит в тупик.

 

Дублирование (клонирование) SIM-карты.Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции. На конкретном примере: злоумышленнику каким-то образом удалось заполучить скан вашего паспорта. Скан можно заказать в любом подобном магазине паспортов или на старом добром форуме. После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи. После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках. Дальше начинается классика с “восстановлением доступа”. Кроме этого, можно создать клон Telegram, например, как описано тут. Конкретно описанная в этом примере схема может не работать на практике, но аналоги до сих пор срабатывают. Особенно с любителями пересылать документы через социальные сети.

 

Ложная базовая станция. Тут старички с ухмылкой обычно начинают говорить “а где ж мошенники возьмут столько денег на дорогое оборудование” или “как же они расшифруют SMS”. Но правда состоит в том, что в интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом. Кому интересно https://www.opennet.ru/opennews/art.shtml?num=35735 . Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”. Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит сложнее и, как правило, требует подготовки всей инфраструктуры заранее. Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой.

 

 

Взлом “Персонального кабинета” абонента. Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя. вот реальная история https://habrahabr.ru/post/305706/ и еще одна https://geektimes.ru/post/264974/ . Все это иллюстрирует отношение операторов к информационной безопасности. Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.

 

 

Защита. 

Использование Google Authenticator вместо SMS-аутентификацияи. Google Authenticator представляет 6- или 8-значный одноразовый цифровой пароль, который пользователь должен предоставить в дополнение к имени пользователя и пароля, чтобы войти в службы Google или других сервисов. Authenticator также может генерировать коды для сторонних приложений, такие как менеджеры паролей или услуг хостинга файлов. 

Не использовать в качестве номера восстановления доступа к важной информации основной телефон. Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине или России (чтобы нельзя было найти и связать по IMEI). Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования. Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя.

Аватар пользователя ivansotnikov965
ivansotnikov965

Вот ещё гляньте на эту тему: https://youtu.be/aMd6IuOhmow 

Яндекс.Метрика