Наша взаимовыгодная связь https://banwar.org/
Традиційний суперечка «чи потрібен антивірус» досить часто виглядає так:
- Та не треба мені ваш антивірус, у мене красти нічого! Ну заразять, ну зашифрують комп'ютер - переставлю систему начисто, видалю всі віруси, а нічого цінного на комп'ютері у мене немає.
- Але банківська картка-то у тебе є? В інтернет-магазинах ти щось купуєш?
- Ха, так у банку двухфакторная аутентифікація, вона мене захистить. Навіть якщо вкрадуть номер картки, то гроші списати не зможуть.
Як показує практика, зможуть. По-перше, зовсім не всі інтернет-магазини використовують захист 3D Secure, тобто зовсім не будь-які транзакції вимагають підтвердження кодом з SMS. Виходить, можна щось купити на вашу карту так, що ви про це навіть не дізнаєтеся, поки не подивіться в історію покупок. Та й що вже там, навіть CVC-код (три цифри на зворотному боці картки) потрібен не скрізь - подекуди можна витратити гроші з вашої картки і без нього.
По-друге, шахраї навчилися перехоплювати SMS з кодами безпеки, які відправляють банки, і виводити всі гроші, які є на карті. Не так давно саме таким способом в Німеччині кіберзлочинці провернули крупну операцію по розкраданню коштів з кредиток невдалих користувачів. Давайте трохи докладніше розберемо, як це сталося.
Перехоплювати SMS можливо через уразливість в наборі сигнальних телефонних протоколів під загальною назвою ОКС-7 (Вони ж SS7, вони ж Система сигналізації №7, вони ж Signaling System 7 або Common Channel Signaling System 7).
Ці сигнальні протоколи є основою всієї сучасної системи телефонного зв'язку - вони служать для передачі всієї службової інформації в телефонних мережах. Їх розробляли ще в 1970-х, вперше використали в 1980-х, і з тих пір вони встигли стати загальноприйнятим стандартом.
Спочатку протоколи ОКС-7 розроблялися для стаціонарного зв'язку. Ідея полягала в тому, щоб розділити голосовий трафік і службові сигнали фізично, помістивши їх в різні канали. Робилося це для боротьби з телефонними хакерами - вони використовували спеціальні коробочки для імітації тональні сигнали, за допомогою яких тоді передавалася службова інформація в телефонних мережах. Саме з таких коробочок свого часу починали Стів Джобс і Стів Возняк - втім, це зовсім інша історія.
Пізніше той же набір протоколів був використаний і в мобільних мережах. Попутно телефоністи прикрутили до нього ще купу функцій - зокрема, саме через ОКС-7 насправді передаються SMS.
Проблема в тому, що півстоліття тому про інформаційну безпеку (по крайней мере, громадянської) думали мало, а основну увагу приділяли ефективності, тому Система сигналізації №7 вийшла зручною, але дірявої.
Основний недолік системи - як і багатьох інших систем, проектировавшихся в ті часи, - полягає в тому, що вона побудована на довірі. Передбачалося, що до неї матимуть доступ тільки оператори зв'язку, які за замовчуванням вважаються хорошими хлопцями.
В результаті рівень захищеності системи в цілому визначається найменшим рівнем захищеності серед її учасників . Тобто якщо якогось з вхідних в неї операторів зламали, то всю систему можна вважати скомпрометованої. Ну або якщо хтось із адміністраторів мережі будь-якого оператора вирішив кілька перевищити службові повноваження і використовувати SS7 в своїх цілях - результат буде той же.
А оскільки, маючи до неї доступ, можна підслуховувати розмови, визначати місце розташування абонента і перехоплювати текстові повідомлення, що не дуже санкціонованим доступом до ОКС-7 активно користуються як спецслужби різних країн, так і зловмисники.
власне атака
У разі недавньої атаки в Німеччині послідовність дій зловмисників виглядала так:
1. Комп'ютер жертви заражали банківським троянцем. Троянців досить легко підчепити, якщо у вас немає захисного рішення, а багато хто з них ведуть себе так, що виявити їх без антивіруса неможливо, тому користувачі нічого не помічали.
За допомогою такого троянця зловмисники крали у жертв логіни і паролі для доступу в інтернет-банк. Але вкрасти тільки платіжну інформацію в більшості випадків недостатньо - треба ще отримати той самий код підтвердження транзакції, який банк надсилає на телефон у вигляді смски.
2. Мабуть, за допомогою того ж банківського троянця крали і номери телефонів - його часто потрібно вказувати при покупці в інтернет-магазині, як раз перед тим як вводити номер карти. На цьому моменті у шахраїв були і доступ до інтернет-банку, де вони могли бачити, скільки грошей є у жертви на рахунках, і її номер мобільника. Залишалося вивести гроші.
3. Далі зловмисники, використовуючи вкрадені логін і пароль інтернет-банку, ініціювали переказ грошей з карти на свій рахунок. Після цього, отримавши доступ до SS7 від імені такого собі оператора зв'язку з іншої країни, вони переадресовували SMS, відправлені на номер абонента німецького оператора, на свій номер. Таким чином вони отримували коди підтвердження транзакцій, вводили їх в інтернет-банку і успішно переводили на свій рахунок всі гроші - так, що у банку навіть підозри не закрадалася про можливу нелегітимність операції.
Атаку підтвердив і німецький оператор, абоненти якого виявилися потерпілими в цій історії. Іноземного мобільного оператора, чий доступ до системи був використаний для атаки, заблокували, а постраждалих повідомили про атаку. Правда, нам не відомо, чи допомогло їм це повернути гроші.
Вам все ще не потрібен антивірус?
Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?
Як бачите, прочитати його може будь-хто, хто отримає доступ до системи ОКС-7 і зацікавиться саме вашими текстовими повідомленнями і грошима на вашій банківській картці.
Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості? У нас є декілька порад.
- Для двофакторної аутентифікації можна користуватися не тільки SMS. Якщо є можливість, варто використовувати інші варіанти - наприклад, додаток Google Authenticator або криптографічні USB-ключі. На жаль, банки альтернативних видів двофакторної аутентифікації не сприймають, відправляючи для підтвердження виключно SMS. Так що в разі несакціонірованной спроби доступу до інтернет-банку врятувати може тільки пункт 2.
- використовуйте надійне захисне рішення на кожному пристрої. У разі описаної в цій статті атаки хороший антивірус не дозволив би банківському троянцу заразити комп'ютер і вкрасти логін і пароль від інтернет-банку. І було б вже не так важливо, можуть зловмисники отримати доступ до ваших SMS, чи ні - до цього етапу просто не дійшла б.
В інтернет-магазинах ти щось купуєш?
Вам все ще не потрібен антивірус?
Двухфакторная аутентифікація здається надійним захистом: якщо доступ до телефону є тільки у вас, то хто ж ще може прочитати текстове повідомлення, яке на нього прийде?
Як організувати двухфакторную аутентифікацію правильно і як захиститися від атак на зразок тієї, про яку йдеться в цьому пості?