Колонки Олександр Атаманенко
  3927  0

Зламали аккаунт з використанням коду SMS. Як це сталося?

Двохфакторна автентифікація все ще залишається одним із самих надійних способів забезпечити безпеку своїх даних. Тому вмикайте її всюди де можливо.

Фото: pixabay.com

"Моя пошта була захищена двохфакторною автентифікацією, але її все одно зламали. А потім отримали доступ до грошей на банківському рахунку". Чули такі історії? Ні, це не "urban legends". Розберемося як таке могло відбутися.

Нагадаємо що таке двохфакторна автентифікація (2FA). Перший фактор – "я знаю". Ваш сильний пароль, що знаєте тільки ви. Другий фактор – "я маю". Це може бути:

  • електронний ключ (u2f token, смарт-карта);
  • push-повідомлення на вашому мобільному пристрої;
  • 6-ти чи 8-ми значний унікальний цифровий код, що генерується раз на 30 секунд спеціальною програмою (Google Authenticator, Microsoft Authenticator, інші);
  • одноразові цифрові коди, генеровані сервісом (зазвичай роздруковуються на папір та зберігаються в надійному місці недосяжному для зловмисників)

Якщо 2FA підключена, то доступ можливий лише при використанні обох факторів. Виглядає надійно. Теоретично.

Але ступінь вашого захисту визначає найбільш слабка ланка всієї системи.

Використання коду з SMS

Досить багато сервісів (в тому числі деякі банки), надсилають код підтвердження на ваш мобільний номер за допомогою SMS та називають це "двохфакторною автентифікацією". Але ж ви не володієте безпосередньо телефонним номером. Що може трапитися?

  • Хтось перевипустив вашу sim-картку. Всі sms-повідомлення приходять тепер до "чужих рук". Деякий час тому, це було дуже розповсюджено з prepaid-картками. Стільникові оператори доклали чимало зусиль, щоб викрити злодіїв та зменшити такі випадки. Але ризик неправомірного перевипуску sim-карти все ще існує.
  • Ви загубили свій смартфон чи його у вас викрали. Звісно, ви захистили екран розблокування. А якщо з вашого заблокованого телефону sim-картку переставлять до свого розблокованого? Так, з'явиться можливість отримувати ваші sms-повідомлення.
  • Була налаштована переадресація sms-повідомлень з вашого номеру на номер зловмисника. Наприклад, за допомогою троянського софту чи з використанням "вразливостей" (наприклад, "атака" simjacker, в деяких стільникових мережах дозволяла неконтрольовано та віддалено виконувати USSD команди на вашій sim-карті).
  • Ваш GSM трафік був перехоплений з радіоефіру. Багато хто вважає, що це можуть тільки спецслужби, "тому це теоретичний сценарій". Але вартість потрібного обладнання не дуже велика, а софт для зламу ключа декодування взагалі безкоштовний. Тому якщо ви "дуже важлива персона", то є ризики, що зловмисники полюючи саме за вашими даними, можуть скористатися і подібним обладнанням.

Що робитиме зловмисник, отримавши доступ до ваших SMS? Простий спосіб: багато сервісів мають опцію "Скинути пароль", висилаючи код підтвердження саме за допомогою SMS на прив'язаний до аккаунту мобільний номер. І лише цього коду для деяких сервісів буде достатньо, щоб зловмисник встановив свій власний пароль!

Трапилося дві речі: ви втратили контроль над тим, хто ще може читати ваші SMS. Та розробник сервісу зробив помилку в одному із сценаріїв взаємодії з користувачем, дозволивши доступ до аккаунту тільки за наявності одного фактору (коду з SMS) замість двох (коду та паролю). Нажаль, в цьому сценарію навіть сильний пароль не допомагає, бо обходиться сама потреба його вводити.

Більшість історій про втрату аккаунту з двохфакторною автентифікацією, що ви чули останнім часом, трапилась саме за таким сценарієм: був налаштований спосіб "код через SMS", телефонний номер перейшов до зловмисника, зловмисник скинув пароль, використавши отриманий через SMS код.

А якщо розробник не зробив такої помилки і тільки коду на SMS недостатньо? Зловмисник все ще може продовжити "атаку" підбором паролю. Якщо був обраний типовий слабкий пароль (на кшталт "password1") чи зловмисник отримав ваш пароль якимось іншим чином, то "злам" відбудеться досить швидко. Але якщо пароль був "сильним" та невідомим зловмиснику, то при цьому перебігу подій ваш аккаунт залишиться захищеним.

Автентифікація за допомогою паролю та коду, отриманому через SMS не є повноцінною двохфакторною (тому що другий фактор, телефонний номер, не належить та не контролюється вами в повному обсязі). В ній є деякі типові слабкі місця (на кшталт розглянутих вище).

Національний Інститут Стандартів і Технологій Сполучених Штатів (NIST), наприклад, взагалі рекомендує утриматись від використання автентифікації на основі SMS-повідомлень. Тому при налаштуванні 2FA обирайте інші способи.

  • Двохфакторна автентифікація за допомогою SMS – це потенційно вразливий спосіб. Змініть його на інший варіант всюди, де це можливо. Найкращий спосіб для 2FA – апаратний токен u2f
  • Для відновлення доступу до вашого аккаунту достатньо тільки SMS з кодом на ваш мобільний номер? Краще відв'язати (видалити) номер від аккаунту. Але також заздалегідь продумайте як ви будете відновлювати доступ у разі втрати другого фактору чи якщо забули пароль
  • Прив'язку до телефону неможливо прибрати? (це характерно для ряду банківських сервісів, наприклад). Якщо у вас prepaid карточка, то щонайменше зареєструйте у оператора номер на ваш паспорт. А краще перейдіть до контрактної форми послуг. Це значно ускладнить випуск дублікату вашої sim-карти
  • Обов'язково встановіть pin-код на sim-карту. Це врятує, якщо ваш телефон буде викрадений.

Двохфакторна автентифікація все ще залишається одним із самих надійних способів забезпечити безпеку своїх даних. Тому вмикайте її всюди де можливо. Враховуйте "тонкі" місця, пам'ятаючи, що рівень всього захисту задає найслабкіша ланка вашої системи. І нехай ваші данні залишаються лише з вами.

Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
 
 
 
 
 
 вверх