Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Чому двофакторної аутентифікації за допомогою SMS недостатньо

  1. власне атака
  2. Вам все ще не потрібен антивірус?

Традиційний суперечка «чи потрібен антивірус» досить часто виглядає так:

- Та не треба мені ваш антивірус, у мене красти нічого! Ну заразять, ну зашифрують комп'ютер - переставлю систему начисто, видалю всі віруси, а нічого цінного на комп'ютері у мене немає.

- Але банківська картка-то у тебе є? В інтернет-магазинах ти щось купуєш?

- Ха, так у банку двухфакторная аутентифікація, вона мене захистить. Навіть якщо вкрадуть номер картки, то гроші списати не зможуть.

Як показує практика, зможуть. По-перше, зовсім не всі інтернет-магазини використовують захист 3D Secure, тобто зовсім не будь-які транзакції вимагають підтвердження кодом з SMS. Виходить, можна щось купити на вашу карту так, що ви про це навіть не дізнаєтеся, поки не подивіться в історію покупок. Та й що вже там, навіть CVC-код (три цифри на зворотному боці картки) потрібен не скрізь - подекуди можна витратити гроші з вашої картки і без нього.

По-друге, шахраї навчилися перехоплювати SMS з кодами безпеки, які відправляють банки, і виводити всі гроші, які є на карті. Не так давно саме таким способом в Німеччині кіберзлочинці провернули крупну операцію по розкраданню коштів з кредиток невдалих користувачів. Давайте трохи докладніше розберемо, як це сталося.

Давайте трохи докладніше розберемо, як це сталося

Перехоплювати SMS можливо через уразливість в наборі сигнальних телефонних протоколів під загальною назвою ОКС-7 (Вони ж SS7, вони ж Система сигналізації №7, вони ж Signaling System 7 або Common Channel Signaling System 7).

Ці сигнальні протоколи є основою всієї сучасної системи телефонного зв'язку - вони служать для передачі всієї службової інформації в телефонних мережах. Їх розробляли ще в 1970-х, вперше використали в 1980-х, і з тих пір вони встигли стати загальноприйнятим стандартом.

Спочатку протоколи ОКС-7 розроблялися для стаціонарного зв'язку. Ідея полягала в тому, щоб розділити голосовий трафік і службові сигнали фізично, помістивши їх в різні канали. Робилося це для боротьби з телефонними хакерами - вони використовували спеціальні коробочки для імітації тональні сигнали, за допомогою яких тоді передавалася службова інформація в телефонних мережах. Саме з таких коробочок свого часу починали Стів Джобс і Стів Возняк - втім, це зовсім інша історія.

Пізніше той же набір протоколів був використаний і в мобільних мережах. Попутно телефоністи прикрутили до нього ще купу функцій - зокрема, саме через ОКС-7 насправді передаються SMS.

Проблема в тому, що півстоліття тому про інформаційну безпеку (по крайней мере, громадянської) думали мало, а основну увагу приділяли ефективності, тому Система сигналізації №7 вийшла зручною, але дірявої.

Основний недолік системи - як і багатьох інших систем, проектировавшихся в ті часи, - полягає в тому, що вона побудована на довірі. Передбачалося, що до неї матимуть доступ тільки оператори зв'язку, які за замовчуванням вважаються хорошими хлопцями.

В результаті рівень захищеності системи в цілому визначається найменшим рівнем захищеності серед її учасників . Тобто якщо якогось з вхідних в неї операторів зламали, то всю систему можна вважати скомпрометованої. Ну або якщо хтось із адміністраторів мережі будь-якого оператора вирішив кілька перевищити службові повноваження і використовувати SS7 в своїх цілях - результат буде той же.

А оскільки, маючи до неї доступ, можна підслуховувати розмови, визначати місце розташування абонента і перехоплювати текстові повідомлення, що не дуже санкціонованим доступом до ОКС-7 активно користуються як спецслужби різних країн, так і зловмисники.

власне атака

У разі недавньої атаки в Німеччині послідовність дій зловмисників виглядала так:

1. Комп'ютер жертви заражали банківським троянцем. Троянців досить легко підчепити, якщо у вас немає захисного рішення, а багато хто з них ведуть себе так, що виявити їх без антивіруса неможливо, тому користувачі нічого не помічали.

За допомогою такого троянця зловмисники крали у жертв логіни і паролі для доступу в інтернет-банк. Але вкрасти тільки платіжну інформацію в більшості випадків недостатньо - треба ще отримати той самий код підтвердження транзакції, який банк надсилає на телефон у вигляді смски.

2. Мабуть, за допомогою того ж банківського троянця крали і номери телефонів - його часто потрібно вказувати при покупці в інтернет-магазині, як раз перед тим як вводити номер карти. На цьому моменті у шахраїв були і доступ до інтернет-банку, де вони могли бачити, скільки грошей є у жертви на рахунках, і її номер мобільника. Залишалося вивести гроші.

3. Далі зловмисники, використовуючи вкрадені логін і пароль інтернет-банку, ініціювали переказ грошей з карти на свій рахунок. Після цього, отримавши доступ до SS7 від імені такого собі оператора зв'язку з іншої країни, вони переадресовували SMS, відправлені на номер абонента німецького оператора, на свій номер. Таким чином вони отримували коди підтвердження транзакцій, вводили їх в інтернет-банку і успішно переводили на свій рахунок всі гроші - так, що у банку навіть підозри не закрадалася про можливу нелегітимність операції.

Атаку підтвердив і німецький оператор, абоненти якого виявилися потерпілими в цій історії. Іноземного мобільного оператора, чий доступ до системи був використаний для атаки, заблокували, а постраждалих повідомили про атаку. Правда, нам не відомо, чи допомогло їм це повернути гроші.

Вам все ще не потрібен антивірус?

Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?

Як бачите, прочитати його може будь-хто, хто отримає доступ до системи ОКС-7 і зацікавиться саме вашими текстовими повідомленнями і грошима на вашій банківській картці.

Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості? У нас є декілька порад.

  • Для двофакторної аутентифікації можна користуватися не тільки SMS. Якщо є можливість, варто використовувати інші варіанти - наприклад, додаток Google Authenticator або криптографічні USB-ключі. На жаль, банки альтернативних видів двофакторної аутентифікації не сприймають, відправляючи для підтвердження виключно SMS. Так що в разі несакціонірованной спроби доступу до інтернет-банку врятувати може тільки пункт 2.
  • використовуйте надійне захисне рішення на кожному пристрої. У разі описаної в цій статті атаки хороший антивірус не дозволив би банківському троянцу заразити комп'ютер і вкрасти логін і пароль від інтернет-банку. І було б вже не так важливо, можуть зловмисники отримати доступ до ваших SMS, чи ні - до цього етапу просто не дійшла б.

Але банківська картка-то у тебе є?
В інтернет-магазинах ти щось купуєш?
Вам все ще не потрібен антивірус?
Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?
Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: