Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Чому двофакторної аутентифікації за допомогою SMS недостатньо

  1. власне атака
  2. Вам все ще не потрібен антивірус?

Наша взаимовыгодная связь https://banwar.org/

Традиційний суперечка «чи потрібен антивірус» досить часто виглядає так:

- Та не треба мені ваш антивірус, у мене красти нічого! Ну заразять, ну зашифрують комп'ютер - переставлю систему начисто, видалю всі віруси, а нічого цінного на комп'ютері у мене немає.

- Але банківська картка-то у тебе є? В інтернет-магазинах ти щось купуєш?

- Ха, так у банку двухфакторная аутентифікація, вона мене захистить. Навіть якщо вкрадуть номер картки, то гроші списати не зможуть.

Як показує практика, зможуть. По-перше, зовсім не всі інтернет-магазини використовують захист 3D Secure, тобто зовсім не будь-які транзакції вимагають підтвердження кодом з SMS. Виходить, можна щось купити на вашу карту так, що ви про це навіть не дізнаєтеся, поки не подивіться в історію покупок. Та й що вже там, навіть CVC-код (три цифри на зворотному боці картки) потрібен не скрізь - подекуди можна витратити гроші з вашої картки і без нього.

По-друге, шахраї навчилися перехоплювати SMS з кодами безпеки, які відправляють банки, і виводити всі гроші, які є на карті. Не так давно саме таким способом в Німеччині кіберзлочинці провернули крупну операцію по розкраданню коштів з кредиток невдалих користувачів. Давайте трохи докладніше розберемо, як це сталося.

Давайте трохи докладніше розберемо, як це сталося

Перехоплювати SMS можливо через уразливість в наборі сигнальних телефонних протоколів під загальною назвою ОКС-7 (Вони ж SS7, вони ж Система сигналізації №7, вони ж Signaling System 7 або Common Channel Signaling System 7).

Ці сигнальні протоколи є основою всієї сучасної системи телефонного зв'язку - вони служать для передачі всієї службової інформації в телефонних мережах. Їх розробляли ще в 1970-х, вперше використали в 1980-х, і з тих пір вони встигли стати загальноприйнятим стандартом.

Спочатку протоколи ОКС-7 розроблялися для стаціонарного зв'язку. Ідея полягала в тому, щоб розділити голосовий трафік і службові сигнали фізично, помістивши їх в різні канали. Робилося це для боротьби з телефонними хакерами - вони використовували спеціальні коробочки для імітації тональні сигнали, за допомогою яких тоді передавалася службова інформація в телефонних мережах. Саме з таких коробочок свого часу починали Стів Джобс і Стів Возняк - втім, це зовсім інша історія.

Пізніше той же набір протоколів був використаний і в мобільних мережах. Попутно телефоністи прикрутили до нього ще купу функцій - зокрема, саме через ОКС-7 насправді передаються SMS.

Проблема в тому, що півстоліття тому про інформаційну безпеку (по крайней мере, громадянської) думали мало, а основну увагу приділяли ефективності, тому Система сигналізації №7 вийшла зручною, але дірявої.

Основний недолік системи - як і багатьох інших систем, проектировавшихся в ті часи, - полягає в тому, що вона побудована на довірі. Передбачалося, що до неї матимуть доступ тільки оператори зв'язку, які за замовчуванням вважаються хорошими хлопцями.

В результаті рівень захищеності системи в цілому визначається найменшим рівнем захищеності серед її учасників . Тобто якщо якогось з вхідних в неї операторів зламали, то всю систему можна вважати скомпрометованої. Ну або якщо хтось із адміністраторів мережі будь-якого оператора вирішив кілька перевищити службові повноваження і використовувати SS7 в своїх цілях - результат буде той же.

А оскільки, маючи до неї доступ, можна підслуховувати розмови, визначати місце розташування абонента і перехоплювати текстові повідомлення, що не дуже санкціонованим доступом до ОКС-7 активно користуються як спецслужби різних країн, так і зловмисники.

власне атака

У разі недавньої атаки в Німеччині послідовність дій зловмисників виглядала так:

1. Комп'ютер жертви заражали банківським троянцем. Троянців досить легко підчепити, якщо у вас немає захисного рішення, а багато хто з них ведуть себе так, що виявити їх без антивіруса неможливо, тому користувачі нічого не помічали.

За допомогою такого троянця зловмисники крали у жертв логіни і паролі для доступу в інтернет-банк. Але вкрасти тільки платіжну інформацію в більшості випадків недостатньо - треба ще отримати той самий код підтвердження транзакції, який банк надсилає на телефон у вигляді смски.

2. Мабуть, за допомогою того ж банківського троянця крали і номери телефонів - його часто потрібно вказувати при покупці в інтернет-магазині, як раз перед тим як вводити номер карти. На цьому моменті у шахраїв були і доступ до інтернет-банку, де вони могли бачити, скільки грошей є у жертви на рахунках, і її номер мобільника. Залишалося вивести гроші.

3. Далі зловмисники, використовуючи вкрадені логін і пароль інтернет-банку, ініціювали переказ грошей з карти на свій рахунок. Після цього, отримавши доступ до SS7 від імені такого собі оператора зв'язку з іншої країни, вони переадресовували SMS, відправлені на номер абонента німецького оператора, на свій номер. Таким чином вони отримували коди підтвердження транзакцій, вводили їх в інтернет-банку і успішно переводили на свій рахунок всі гроші - так, що у банку навіть підозри не закрадалася про можливу нелегітимність операції.

Атаку підтвердив і німецький оператор, абоненти якого виявилися потерпілими в цій історії. Іноземного мобільного оператора, чий доступ до системи був використаний для атаки, заблокували, а постраждалих повідомили про атаку. Правда, нам не відомо, чи допомогло їм це повернути гроші.

Вам все ще не потрібен антивірус?

Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?

Як бачите, прочитати його може будь-хто, хто отримає доступ до системи ОКС-7 і зацікавиться саме вашими текстовими повідомленнями і грошима на вашій банківській картці.

Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості? У нас є декілька порад.

  • Для двофакторної аутентифікації можна користуватися не тільки SMS. Якщо є можливість, варто використовувати інші варіанти - наприклад, додаток Google Authenticator або криптографічні USB-ключі. На жаль, банки альтернативних видів двофакторної аутентифікації не сприймають, відправляючи для підтвердження виключно SMS. Так що в разі несакціонірованной спроби доступу до інтернет-банку врятувати може тільки пункт 2.
  • використовуйте надійне захисне рішення на кожному пристрої. У разі описаної в цій статті атаки хороший антивірус не дозволив би банківському троянцу заразити комп'ютер і вкрасти логін і пароль від інтернет-банку. І було б вже не так важливо, можуть зловмисники отримати доступ до ваших SMS, чи ні - до цього етапу просто не дійшла б.

Але банківська картка-то у тебе є?
В інтернет-магазинах ти щось купуєш?
Вам все ще не потрібен антивірус?
Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?
Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: