Преступники пытаются обходить двухфакторную аутентификацию банков и осуществлять неавторизованные транзакции с чужих счетов. Представляем статьи, написанные специалистами по этим вопросам, а также рекомендации по защите.

ЭТО НАКОНЕЦ ПРОИЗОШЛО: ДЫРЫ В SS7 ИСПОЛЬЗУЮТ ДЛЯ ОБХОДА ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ

Эксперты уже давно предупреждают о небезопасности набора сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), который до сих пор используют операторы связи по всему миру. Дело в том, что SS7 был разработан еще в 1975, и в настоящее время он безнадежно устарел, а также фактически не имеет никакой защиты.

Исследователи не раз доказывали небезопасность SS7 и даже описывали возможные способы эксплуатации проблем стека. К примеру, немецкий эксперт Тобиас Энгель (Tobias Engel) дважды выступал на конференции Chaos Communication Congress, в 2010 и 2014 годах, предупреждая о том, что при помощи SS7 можно обнаружить и отследить практически любого жителя планеты, просто зная его телефонный номер.

В том же 2014 году специалисты компании Positive Technologies Дмитрий Курбатов и Сергей Пузанков представили доклад на конференции Positive Hack Days, в котором рассказывали не только о прослушке, но и о многих других возможностях хакеров в сигнальной сети SS7, включая DoS-атаки, фрод, перевод денег, перехват SMS-сообщений и определение местоположения абонента без его ведома.

В 2016 году вокруг небезопасности SS7 и вовсе разразился небольшой скандал. Тогда совместный эксперимент репортера CBS Шарин Альфонси (Sharyn Alfonsi) и известного исследователя Карстена Нола (Karsten Nohl), члена Chaos Computer Club, прошел не совсем так, как было запланировано. Нол и Альфонси хотели продемонстрировать небезопасность набора сигнальных телефонных протоколов ОКС-7, и в опыте пригласили поучаствовать американского конгрессмена Теда Лью (Ted Lieu), которому в итоге совсем не понравилось, что Нол сумел с легкостью взломать и прослушать его смартфон.

Конгрессмен был так впечатлен результатом эксперимента, что официально потребовал проведения тщательного расследования в отношении уязвимостей в стеке SS7. Лью составил официальный документ, обращенный к главе Комитета по надзору и правительственной реформе Палаты представителей, и заявил: «Люди, которые знали об этой бреши, должны быть уволены. Нельзя подвергать 300 с чем-то миллионов американцев (в буквальном смысле всю нацию) риску перехвата телефонных переговоров лишь потому, что данная уязвимость известна и может быть полезна спецслужбам. Это неприемлемо».

Тем не менее, ни разу за все эти годы никто не сообщал о реальных атаках с использованием SS7. Но на этой неделе первый случай эксплуатации уязвимостей злоумышленниками удалось обнаружить журналистам немецкого издания Süddeutsche Zeitung. В минувшую среду журналисты представили результаты собственного расследования, согласно которому преступники атакуют SS7, чтобы обходить двухфакторную аутентификацию банков и осуществлять неавторизованные транзакции с чужих счетов.

По данным издания, сначала злоумышленники собирают информацию о банковском аккаунте жертвы, ее учетных данных и номере телефона, используя для этого малварь или фишинг. Затем преступники совершают атаку на SS7, чтобы узнать идентификатор mTAN (mobile transaction authentication number), который банк отправляет в SMS-сообщении. По сути, mTAN – это одноразовый пароль, который банки используют для подтверждения транзакций. Атака позволяет переадресовать SMS-сообщение с паролем на номер, подконтрольный злоумышленникам, после чего остается лишь осуществить перевод средств.

Тот факт, что немецкие пользователи становятся жертвами таких атак, журналистам подтвердили представители телекоммуникационной компании O2-Telefonica. По их словам, атаки начались в середине января 2017 года и исходят из сетей зарубежных сотовых операторов. При этом специалисты подчеркивают, что для реализации подобных атак потребуется оборудование, которое можно достать в открытой продаже, и его суммарная стоимость вряд ли превысит $1000. Пожалуй, единственной сложностью может стать получение специального идентификатора global title (GT), но, судя по всему, для этого атакующие успешно подкупают сотрудников сотовых операторов в странах третьего мира, или арендуют GT через подставных лиц, якобы для доставки SMS и работы других сервисов.

Хотя расследование Süddeutsche Zeitung выявило первый реальный случай эксплуатации SS7 злоумышленниками, экспертов происходящее совсем не удивляет.

«Я не удивлен, что хакеры берут деньги, которые буквально “лежат на столе”. Меня удивляет лишь то, что онлайновым грабителям банков потребовалось так много времени, чтобы присоединиться к подрядчикам спецслужб и начать злоупотреблять [возможностями] глобальной сети SS7», — рассказал журналистам Карстен Нол.

Прокомментировал результаты расследования журналистов и конгрессмен Тед Лью, пообещав провести слушание в Конгрессе:

«Все аккаунты, защищенные текстовой двухфакторной аутентификацией, к примеру, аккаунты банков, находятся в зоне потенциального риска до тех пор, пока Федеральная комиссия по связи США и телекоммуникационная индустрия не исправят разрушительную уязвимость SS7».

Кроме того, теперь многие эксперты напоминают о том, что еще в середине 2016 года Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Мария Нефёдова

Опубликовано 5 мая 2017 года на сайте xakep.ru Подробнее…

Источник: https://xakep.ru/2017/05/05/ss7-attacks/

 

См. также

Обход двухфакторной аутентификации Google
Как хакеры взламывают двухфакторную аутентификацию

В связи с этим повышается надежность 2FA с использованием уникальных данных

Биометрические методы — еще одна форма 2FA. К ним относятся вход по отпечатку пальца, распознавание лица , сканирование сетчатки или радужной оболочки глаза и распознавание голоса. Биометрическая идентификация становится популярной благодаря простоте использования.

Большинство современных смартфонов можно разблокировать, приложив палец к сканеру или позволив камере сканировать ваше лицо — гораздо быстрее, чем ввод пароля или кода доступа.

Однако биометрические данные также могут быть взломаны либо с серверов, на которых они хранятся, либо с помощью программного обеспечения, обрабатывающего данные.

В качестве примера можно привести прошлогоднюю утечку данных Biostar 2, в результате которой было взломано почти 28 миллионов биометрических записей. BioStar 2 — это система безопасности, которая использует технологию распознавания лиц и отпечатков пальцев, чтобы помочь организациям защитить доступ в здания.

При биометрическом распознавании также могут быть ложноотрицательные и ложные срабатывания. Грязь на считывателе отпечатков пальцев или на пальце человека может привести к ложным отрицательным результатам. Кроме того, лица иногда могут быть достаточно похожими, чтобы обмануть системы распознавания лиц .

Другой тип двухфакторной аутентификации — это вопросы личной безопасности, например: «В каком городе встречались ваши родители?» или «как звали вашего первого питомца?»

Ответы на эти вопросы сможет найти только самый решительный и находчивый хакер. Это маловероятно, но все же возможно, тем более что все больше из нас используют общедоступные онлайн-профили.

2FA остается лучшей практикой
Несмотря на все вышеперечисленное, самой большой уязвимостью к взлому остается человеческий фактор. В арсенале успешных хакеров есть ошеломляющее множество психологических приемов.

Кибератака может быть проявлением вежливого запроса, страшного предупреждения, сообщения якобы от друга или коллеги или интригующей ссылки «кликбейт» в электронном письме.

Лучший способ защитить себя от хакеров — это развить в себе здоровый скептицизм. Если вы внимательно проверяете веб-сайты и ссылки перед тем, как переходить по ним, а также использовать 2FA, шансы быть взломанными становятся исчезающе малыми.

Суть в том, что 2FA эффективна для обеспечения безопасности ваших учетных записей. Однако старайтесь избегать использования менее безопасного метода SMS, если у вас есть такая возможность.

Вставка: Угрозы, указанные в вышеизложенных статьях проанализированы с точки зрения мер, необходимых для защиты от этого риска: С учетом этого при использовании двухфакторной аутентификации не отключайте антивирусы даже по убедительным просьбам «доброжелателей», следите за тем, что бы сайт, на который вы выходите, имел точный адрес и используется защищенное соединение (замочек возле адреса).

Оптимально сочетание нескольких методов 2FA:

• через одноразовые SMS-пароли,
• через аутентификацию по отпечатку пальца (если телефон поддерживает функцию),
• через ввод пароля и так далее.

Подобно тому, как взломщики в реальном мире сосредотачиваются на домах с плохой безопасностью, хакеры в Интернете ищут слабые места.

И хотя любую меру безопасности можно преодолеть, приложив достаточно усилий, хакер не будет вкладывать эти деньги, если только он не хочет получить что-то более ценное.

Материал из статьи от ZetaLine.ru