Кража денег путем перехвата кодов в SMS

Большинство банков используют для защиты денег своих клиентов двухфакторную аутентификацию — это те самые 4–6-значные коды, которые нужны для подтверждения транзакций или входа в интернет-банк. Обычно эти разовые коды банки присылают в SMS-сообщениях. Увы, SMS — далеко не самый удачный вариант, поскольку текстовые сообщения можно перехватить. Именно это недавно и случилось.

Взлом протокола SS7 и перехват сообщений

Как злоумышленники перехватывают текстовые сообщения? Существует несколько способов, самый экстравагантный из них — через несовершенство протокола SS7 (который по-русски называется ОКС-7). Его используют операторы связи по всему миру для маршрутизации звонков и заодно для передачи SMS.

Основная идея в том, что в протоколе SS7 не предусмотрена проверка того, кто отправляет команды. И если киберпреступникам удается проникнуть в сотовую сеть, то они получают возможность перенаправлять сообщения и звонки без ведома абонента, которому они адресованы. Схема работает так: сначала киберпреступники выясняют логин и пароль жертвы для онлайн-банкинга — с помощью фишинга, клавиатурных шпионов или банковских троянов. Войдя в онлайн-банк, они отправляют запрос на перевод денег. Большинство современных банков требуют дополнительное подтверждение для перевода и отправляют код, чтобы убедиться, что операцию выполняет именно владелец счета.

Если банк отправляет код в SMS, то злоумышленники, пользуясь уязвимостью SS7, перехватывают сообщение и вводят этот код, как будто получили его на телефон жертвы. Банк переводит деньги, считая операцию абсолютно легитимной, потому что она авторизована дважды: сначала паролем, а потом — разовым кодом. В результате кибермошенники беспрепятственно получают чужие деньги.

vzlom-sms1

От теории к практике

Специалисты по информационной безопасности уже давно предупреждали о теоретической возможности подобного взлома. И не так давно это произошло на практике: в Германии была зафиксирована массовая атака на клиентов банков по данному сценарию. А совсем недавно это случилось снова, на этот раз в Великобритании: по сообщению издания Motherboard, мишенями стали клиенты банка Metro Bank. Но, как прокомментировали представители Metro Bank, с подобной ситуацией столкнулось чрезвычайно мало клиентов и «никто не лишился своих денег в результате атаки».

Всего этого можно было избежать, если бы не приверженность банков двухфакторной аутентификации на основе текстовых сообщений, вместо специальных приложений или даже аппаратных аутентификаторов наподобие YubiKey.

К сожалению, за редким исключением финансовые учреждения обычно не предлагают каких-либо других видов двухфакторной аутентификации, кроме SMS. Остается надеяться, что в дальнейшем ситуация изменится и число банков по всему миру, предоставляющих клиентам более широкий выбор надежных вариантов защиты, будет расти.

Как защитить свой банковский счет

Из этой истории можно сделать следующие выводы:

  • Повсеместно применять двухфакторную аутентификацию очень желательно, но при этом вместо SMS лучше пользоваться более безопасными вариантами, такими как приложения-аутентификаторы или YubiKey.
  • Защищайте свои устройства от банковских троянов и клавиатурных шпионов с помощью надежного антивирусного решения — таким образом вы не дадите им выведать ваши логины и пароли и убережете себя от ситуаций, описанных в этой статье.

По материалам сайтов xakep.ru, kaspersky.ru

Яндекс.Метрика