Риски взлома и хищения средств через SMS-аутентификацию для криптосообщества

Как считают многие представители криптосообщества, настоящее время можно назвать эрой “цифровых 90-ых”, где бизнесменов похищают за выкуп, силовики изымают оборудование и криптовалюты у подозреваемых или свидетелей, а хакеры в любой момент могут воспользоваться уязвимостями новых систем. Именно поэтому редакция ForkLog попросила Максима Тарасенко — White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT (CEO ProtectMaster) — подготовить материал, в котором раскрыты основные риски использования SMS-аутентификации, которые грозят держателям биткоина и других криптовалют.

Отрасль информационной безопасности развивается семимильными шагами, но и киберпреступники с кибермошенниками не стоят на месте. Сегодня я попробую рассказать о том, почему SMS-аутентификация и телефоны — это то, от чего криптотрейдерам и криптобизнесменам, да и любым адекватным людям с высокой потребностью к конфиденциальности, стоит держаться подальше, и почему SMS-аутентификации пора умереть. Мое мнение субъективно и основывается на личном опыте. Я не претендую на истину в последней инстанции, но надеюсь, что полученная информация будет полезна читателям ForkLog, поскольку она особенно актуальна в свете последних событий.

На мой взгляд, сегодня в области информационной безопасности задействовано множество так называемых специалистов, экспертов и разного рода профессионалов, которые еще в 90-ые работали на перфокартах. Мне 26, и я работаю в информационной безопасности с 14-15 лет, успел поработать в СБУ, создать свою компанию в сфере информационной безопасности (далее ИБ), запустить хакерскую конференцию и даже поучаствовать в запуске криптовалюты для хакеров.

Не так давно я решил полностью перейти на иностранные номера в мессенджерах, сменил на зарубежные все телефоны для восстановления различного рода доступов и отвязал SMS-аутентификацию везде, где это возможно. То же самое мы делаем для всех наших клиентов. Это всегда вызывает целый ряд вопросов и просьб рассказать об этом подробнее.

Итак, риски перехвата SMS состоят в том, что злоумышленник, перехватив сообщение, способен завладеть вашими цифровыми аккаунтами, где номер телефона используется в качестве одной из форм аутентификации или восстановления доступа.

Основные варианты:

Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Теперь рассмотрим подробно каждый из рисков.

Прослушка

Негласные следственные действия, предусмотренные главой 21 Криминально-процессуального кодекса (КПК) Украины, помимо прочего включают в себя “Снятие информации с транспортных телекоммуникационных систем”, что в простонародье и называется прослушкой. В РФ это соответствует статье 186 УПК — “Контроль и запись переговоров”. Во всем мире действуют схожие нормы проведения прослушки.

Разрешение на проведение прослушки дается в следующих случаях:

по уголовным делам;
по контрразведывательным делам;
в рамках внешней разведки.

Субъектами, которым разрешено использовать прослушку, являются правоохранительные органы, правоохранительные органы специального назначения (спецслужбы) и службы внешней разведки.

Прослушка в Украине и в большинстве стран проводится только по тяжким преступлениям. “Тяжкое преступление” в Украине соответствует статье, которая предполагает срок лишения свободы подозреваемого от 5 лет. Например, 212 ККУ “Уклонение от уплаты налогов” — это не тяжкая статья и прослушку по такому делу получить невозможно.

Отмечу, что подробности о формах и методах проведения негласных следственных действий относятся к информации с ограниченным доступом, за разглашение которой предусмотрена уголовная ответственность, так что я буду опираться только на публично доступную информацию и на зарубежные аналоги.

Суровые реалии правоохранительной системы в странах постсоветского пространства показывают крайне высокий уровень коррупции среди правоохранителей. Выражение “все покупается и все продается”, к сожалению, актуально и в этой сфере. Силовики используют обыски, изъятия и прослушку как одну из форм давления на бизнес, а иногда и для откровенного рейдерства и грабежа. Иногда дело просто в политике. Так появилась история о том, как ФСБ Telegram взломало, в которую многие до сих пор верят. Ниже я опишу пример подобного “взлома”.

Давайте разберемся в этом деле на очень простом примере. Следователь А заводит уголовное дело по выдуманному заявлению Гражданина Ш о якобы мошенничестве на доске объявлений в интернете. Гражданин Ш утверждает, что неизвестный ему мошенник запросил у него предоплату за покупку IPhone 7 на кошелек QIWI, привязанный к номеру телефона +38 093…, получил деньги и ушел в закат. Следователь А классифицирует данное действие по статье 190 ч.3 УК Украины “Мошенничество с использованием ЭВМ”.

В рамках уголовного дела Следователь А получает разрешение от следственного судьи на проведение негласных следственных действий. Далее некий “неизвестный” перехватывает SMS на указанном номере и восстанавливает доступ к почте Gmail Свидетеля К, которому на самом деле принадлежит номер +38093… Дальше магическим образом “неизвестная личность”, используя форму восстановления пароля на бирже, получает полный контроль над финансами Свидетеля К и тоже “уходит в закат”.

Гражданина Ш внезапно заявляет, что ему удалось полюбовно уладить конфликт с обидчиком. Следователь А закрывает уголовное дело в связи с отсутствием состава преступления (есть много вариантов, как еще это сделать). Свидетель К, обнаружив пропажу крипты, пишет заявление в полицию о пропаже, но получает отказ о внесении данных в единый реестр досудебного расследования, так как криптовалюта — не деньги, актив или товар, и украсть ее с точки зрения УПК невозможно. В этом случае адвокаты советуют Свидетелю К написать заявление о факте взлома почты (биржи, кошелька). Далее следствие заходит в тупик.

Если вы считаете, что двухфакторная авторизация в Telegram точно защитит вашу переписку, то вы ошибаетесь. Помните, что новые и новые схемы создаются каждый день, и безопасность всей системы характеризуется безопасностью самого слабого звена в ней.

Дублирование (клонирование SIM-карт)

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.

Про эту схему уже писали тут. На конкретном примере: злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница, интернет). Скан можно заказать в любом подобном магазине паспортов или на старом добром форуме для начинающих хакеров (внимание, магазин и форум указан только в качестве примера, это не совет или призыв к действию).

После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи. После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках.

Дальше начинается классика с “восстановлением доступа”. Кроме этого, можно создать клон Telegram, например, как описано тут. Конкретно описанная в этом примере схема может не работать на практике, но аналоги до сих пор срабатывают. Особенно с любителями пересылать документы через социальные сети.

Ложная базовая станция

Тут старички с ухмылкой обычно начинают говорить “а где ж мошенники возьмут столько денег на дорогое оборудование” или “как же они расшифруют SMS”. Но правда состоит в том, что в интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом, что было продемонстрировано еще в 2013 году.

Напомню, что в 2010 году стоимость кустарного оборудования для перехвата GSM действительно начиналась от 1500 до 5000 долларов США. Существует и более дорогое и труднодоступное оборудование, описанное в этой статье. Уже относительно давно есть довольно крупные проекты вроде OsmocomBB по изучению GSM-сетей и исследованию перехвата данных в GSM-сетях.

Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”. Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит как-то так с определенными “модификациями” и, как правило, требует подготовки всей инфраструктуры заранее. Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой. В реальности все было бы еще сложнее, однако общая тенденция подверженности сотовых операторов подобным атакам видна тут.

Взлом персонального кабинета абонента на сайте

Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя.

Есть реальный пример одного сотового оператора Украины, допустившего возможность привязки произвольного номера, или забавная история с российским оператором. Все это иллюстрирует отношение операторов к информационной безопасности. Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.

Защита

Как защитится от описанных рисков и почему в начале статьи я писал именно про зарубежные SIM-карты?

Нашим клиентам мы запрещаем использовать в качестве номера восстановления доступа к важной информации основной телефон. Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине (чтобы нельзя было найти и связать по IMEI). Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования.

Мы рекомендуем никогда не включать такой номер в стране постоянной дислокации и активировать сервисы, привязанные на этот номер, где-то за рубежом. Это связано с особенностью работы сотовых операторов и проведения прослушки.
Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя.

Основные риски и способы их нейтрализации я постарался максимально кратко вместить в рамках этой статьи. Вынужден предупредить, что вышеперечисленный список рисков не является исчерпывающим и именно для этого существуют компании, вроде ProtectMaster или целые маркетплейсы для хакеров, вроде Hacken.io, которые продумывают за вас модели угроз и рисков, составляют все возможные векторы атак, начиная от “силовиков”, заканчивая “хакерами” и даже тестируют безопасность ваших приложений.

Если вам был полезен материал, хотелось бы получить обратную связь в виде комментариев или вопросов. И добавляйтесь в друзья на Facebook!

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]