Двухфакторная SMS-аутентификация не защитит вас, если хакеры смогут перехватить ваши сообщения
Для простоты эксперты часто описывают двухфакторную аутентификацию (2FA) как систему, которая позволяет вам входить в свою учетную запись, только если вы предоставляете что-то, что вам известно, а также то, что у вас есть.
То, что вы знаете, очевидно - правильное сочетание имени пользователя и пароля. Однако у вас есть другая история. За некоторыми исключениями, вы фактически не предоставляете то, что у вас есть. Обычно ввести временный код, который на устройстве вы имеете как - то появляется. А какое устройство у вас всегда с собой? Это верно, твой мобильный телефон.
Table of Contents
SMS и двухфакторная аутентификация
Отправка временного пароля на мобильный телефон является очевидным решением. Это быстро, недорого, и какое-то время не было никаких других альтернатив. На сегодняшний день существует множество онлайн-сервисов, предлагающих этот вид двухфакторной аутентификации, и многие люди используют ее, полагая, что это самая разумная вещь в мире.
Специалисты по безопасности, однако, некоторое время сомневались. Дело в том, что когда они высказывают свои опасения, их часто критикуют за чрезмерную параноидальность, и нужно сказать, что время от времени сценарии, которые некоторые из них описывают, не очень правдоподобны, особенно в том, что касается обычных пользователей, Однако в случае с SMS и двухфакторной аутентификацией опасения основаны на холодных, неопровержимых фактах о рассматриваемой технологии, и их не следует пренебрегать легкомысленно.
SS7 - древняя технология, которую мы до сих пор используем для отправки и получения SMS-сообщений
Система сигнализации № 7 (SS7) - это набор протоколов, которые мы использовали, среди прочего, для передачи текстовых сообщений с момента появления первых мобильных телефонов. Реальные протоколы были разработаны еще в 1975 году, и, как и любая технология, которой более сорока лет, они также имеют один или два недостатка.
С точки зрения безопасности, все было особенно тревожно, особенно в последнее десятилетие или около того. Эксперты говорят об уязвимостях SS7 с 2008 года, с первыми недостатками, позволяющими отслеживать жертвы, и с последующими открытиями, позволяющими мошенникам переадресовывать и перехватывать звонки и сообщения. Теоретически, только поставщики телекоммуникационных услуг должны иметь доступ к сетям SS7, но на самом деле любой может пойти на подпольные рынки и купить инструменты, которые позволят им скользить по потоку информации.
Как только они обнаружили первые уязвимости, эксперты объявили SS7 неадекватным для защиты конфиденциальности пользователей и сказали, что его должно заменить что-то более современное. Однако, по-видимому, поставщики телекоммуникационных услуг считали, что угроза не столь серьезна, и призывы сообщества безопасности были проигнорированы. В 2017 году произошло неизбежное.
Немецкий филиал O2-Telefonica, европейского оператора мобильной связи, признал, что некоторые из его клиентов израсходовали свои банковские счета после того, как преступники воспользовались изъяном в сети SS7. Во-первых, хакеры использовали социальную инженерию, чтобы обманом заставить жертву установить вредоносное ПО на свои компьютеры. Вооруженные украденными именами пользователей, паролями и номерами телефонов, мошенники пытались войти в учетные записи пользователей среди ночи. Затем они перехватили SMS-сообщения с кодами двухфакторной аутентификации и успешно отозвали деньги.
После инцидента все больше людей стали настаивать на замене SS7 более новой технологией, но факт в том, что на данный момент у нас просто нет альтернативы. Это, наряду с угрозой замены SIM-карты, делает SMS как средство передачи кодов 2FA менее совершенным. Означает ли это, что вы ни при каких обстоятельствах не должны использовать двухфакторную аутентификацию SMS?
Двухфакторная проверка подлинности SMS лучше, чем отсутствие двухфакторной проверки подлинности
SMS, особенно когда оно используется для чего-то такого же чувствительного, как коды 2FA, имеет свои недостатки. Надо сказать, однако, что некоторые люди немного увлекаются предупреждениями. Действительно, атаки SS7 - это не просто теоретическая возможность, но факт жизни, о чем свидетельствуют клиенты O2-Telefonica. Этот тип преступления может быть совершен только изощренными хакерскими группами, которые являются одновременно высококвалифицированными и мотивированными. И вопреки распространенному мнению, их не так уж много. Большинство киберпреступников, охотящихся на пользователей, не имеют ни знаний, ни ресурсов, чтобы осуществить такую атаку. То же самое касается замены SIM-карты.
И в любом случае, даже если они достаточно опытны, чтобы перехватывать текстовые сообщения, с включенной двухфакторной аутентификацией, вы, по крайней мере, усложняете их жизнь. Это всегда хорошо.
К настоящему времени вы должны знать, что есть несколько альтернатив. Приложения для двухфакторной аутентификации, такие как Google Authenticator, генерируют свои коды локально, что означает, что мошенники не могут их перехватить. И если вы хотите быть еще более безопасным, вы всегда можете посмотреть токены аутентификации U2F.
Даже эти варианты не безупречны, но, особенно если вы защищаете что-то важное, например, свою электронную почту или учетную запись онлайн-банкинга, они работают намного лучше, чем текстовые сообщения. Проверьте параметры 2FA для всех услуг, которые вы используете, и если вы можете выбрать что-то более безопасное, чем текстовые сообщения, убедитесь, что вы делаете. Даже если SMS-сообщения являются единственным вариантом, вы должны убедиться, что 2FA включен.
