Ризик злому SMS-аутентифікації ваших криптовалютных гаманців і бірж

Як вважають багато представників криптосообщества, нині можна назвати ерою “цифрових 90-их”, де бізнесменів викрадають за викуп, силовики вилучають обладнання і кріптовалюти у підозрюваних або свідків, а хакери в будь-який момент можуть скористатися уразливими нових систем.

Саме тому Максим Тарасенко (White Hat Community Director в проекті Hacken і засновника форуму з кібербезпеки HackIT) — підготував матеріал, у якому розкрито основні ризики використання SMS-аутентифікації, які загрожують власникам биткоина та інших криптовалют.

Галузь інформаційної безпеки розвивається семимильними кроками, але і кіберзлочинці з кібершахраями не стоять на місці. Сьогодні я спробую розповісти про те, чому SMS-аутентифікація і телефони — це те, від чого криптотрейдерам і криптобизнесменам, так і будь-яким адекватним людям з високою потребою до конфіденційності, варто триматися подалі, і чому SMS-аутентифікації пора померти. Моя думка суб’єктивно і грунтується на особистому досвіді. Я не претендую на істину в останній інстанції, але сподіваюся, що отримана інформація буде корисна читачам, оскільки вона особливо актуальна у світлі останніх подій.

На мій погляд, сьогодні в області інформаційної безпеки задіяно безліч так званих фахівців, експертів і різного роду професіоналів, які ще в 90-ті працювали на перфокартах. Мені 26, і я працюю в інформаційної безпеки з 14-15 років, встиг попрацювати в СБУ, створити свою компанію в сфері інформаційної безпеки (далі ІБ), запустити хакерську конференцію і навіть взяти участь у запуску кріптовалюти для хакерів.

Не так давно я вирішив повністю перейти на іноземні номери в месенджерах, змінив на зарубіжні всі телефони для відновлення різного роду доступів і відв’язав SMS-аутентифікацію скрізь, де це можливо. Те ж саме ми робимо для всіх наших клієнтів. Це завжди викликає цілий ряд питань і прохань розповісти про це докладніше.

Варіанти отримання доступу до ваших облікових записів через SMS-аутентифікацію

Отже, ризики перехоплення SMS полягають у тому, що зловмисник, перехопивши повідомлення, здатний заволодіти вашими цифровими записами, де номер телефону використовується в якості однієї з форм аутентифікації або відновлення доступу.

Основні варіанти:

• Прослуховування. Перехоплення SMS правоохоронцями внаслідок перевищення службових повноважень або нецільового використання матеріалів негласних слідчих дій.
• Дублювання (клонування) SIM-картки через оператора стільникового зв’язку з використанням персональних даних клієнта і подальше використання клонованої SIM-карти у протиправній діяльності.
• Помилкова базова станція для перехоплення і розшифровки всіх вхідних повідомлень абонента і подальше використання перехоплених даних у протиправній діяльності.
• Злом “Персонального кабінету” абонента на сайті або додатку стільникового оператора і переадресація всіх повідомлень на адресу зловмисника, а також подальше використання отриманих даних у протиправній діяльності.

Тепер розглянемо докладно кожний з ризиків:

Прослушка

Негласні слідчі дії, передбачені главою 21 Кримінально-процесуального кодексу (КПК) України, крім іншого, включають в себе “Зняття інформації з транспортних телекомунікаційних систем”, що в народі називається прослуховуванням. У РФ це відповідає статті 186 КПК “Контроль і запис переговорів”. У всьому світі діють схожі норми проведення прослуховування.

Дозвіл на проведення прослуховування дається у наступних випадках:

• по кримінальних справах;
• за контррозвідувальним справах;
• в рамках зовнішньої розвідки.

Суб’єктами, яким дозволено використовувати прослуховування, є правоохоронні органи, правоохоронні органи спеціального призначення (спецслужби) та служби зовнішньої розвідки.

Прослушка в Україні і в більшості країн здійснюється лише за тяжких злочинів. “Тяжкий злочин” в Україні відповідає статті, яка передбачає термін позбавлення волі підозрюваного від 5 років. Наприклад, 212 ККУ “Ухилення від сплати податків” — це не тяжка стаття і прослуховування по такій справі отримати неможливо.

Зазначу, що подробиці про форми і методи проведення негласних слідчих дій належать до інформації з обмеженим доступом, за розголошення якої передбачена кримінальна відповідальність, так що я буду спиратися лише на публічно доступну інформацію і на зарубіжні аналоги.

Суворі реалії правоохоронної системи в країнах пострадянського простору показують вкрай високий рівень корупції серед правоохоронців. Вираз “все купується і все продається”, на жаль, актуально і в цій сфері. Силовики використовують обшуки, вилучення і прослуховування як одну з форм тиску на бізнес, а іноді і для відвертого рейдерства і грабежу. Інколи справа просто в політиці. Так з’явилася історія про те, як ФСБ Telegram зламало, в яку багато хто до цих пір вірять. Нижче я опишу приклад подібного “злому”.

Давайте розберемося в цій справі на дуже простому прикладі. Слідчий А заводить кримінальну справу за вигаданим заявою Громадянина Ш про нібито шахрайстві на дошці оголошень в інтернеті. Громадянин Ш стверджує, що невідомий йому шахрай попросив у нього передоплату за покупку IPhone 7 на гаманець QIWI, прив’язаний до номера телефону +38 093…, отримав гроші і пішов на захід. Слідчий А класифікує дане діяння за статтею 190 ч. 3 КК України “Шахрайство з використанням ЕОМ”.

В рамках кримінальної справи Слідчий А отримує дозвіл від слідчого судді на проведення негласних слідчих дій. Далі якийсь “невідомий” перехоплює SMS на вказаному номері і відновлює доступ до пошти Gmail Свідка До, якій насправді належить номер +38093… Далі магічним чином “невідома особа”, використовуючи форму для відновлення пароля на біржі, отримує повний контроль над фінансами Свідка До і теж “йде на захід”.

Громадянина Ш раптово заявляє, що йому вдалося полюбовно залагодити конфлікт з кривдником. Слідчий А закриває кримінальну справу у зв’язку з відсутністю складу злочину (є багато варіантів, як це зробити). Свідок До, виявивши пропажу крипти, пише заяву в поліцію про зникнення, але отримує відмову про внесення даних до єдиного реєстру досудового розслідування, так як криптовалюта — не гроші, актив або товар, і вкрасти її з точки зору КПК неможливо. У цьому випадку адвокати радять Свідкові К написати заяву про факт злому пошти (біржі, гаманця). Далі слідство заходить у глухий кут.

Якщо ви вважаєте, що двофакторна авторизація в Telegram точно захистить вашу переписку, то ви помиляєтеся. Пам’ятайте, що нові і нові схеми створюються кожен день, і безпеку всієї системи характеризується безпекою найслабшої ланки в ній.

Дублювання (клонування SIM-карт)

Більшість стільникових компаній при процедурі відновлення втраченої або вкраденої SIM-карти вимагає копію паспорта (рідко звіряють з оригіналом) і 2-3 останніх вихідних або вхідних SMS. Крім цього, в колл-центрах великих компаній працюють “заскріптовані люди”, у яких немає часу все перевіряти, вони просто діють за інструкцією.

Про цю схему вже писали тут. На конкретному прикладі: зловмиснику якимось чином вдалося отримати скан вашого паспорта (університет, робота, лікарня, інтернет). Скан можна замовити в будь-якому подібному магазині паспортів або на старому доброму форумі для початківців хакерів (увага, магазин і форум зазначений тільки в якості прикладу, це не порада або заклик до дії).

Після отримання скану зловмисник дзвонить вам під приводом дуже важливої справи і просить вас передзвонити за будь-якого приводу. Він повторює прохання кілька разів і вішає трубку під приводом, наприклад, поганий зв’язок. Після цього він зберігає дані про ваших останніх дзвінків, йде до оператора, і з формулюванням “я паспорт забув, але от у мене є копія” або “попередньої домовленості” з легкістю отримує копію SIM-карти, відповівши на питання про останніх вихідних або вхідних дзвінках.

Далі починається класика з “відновленням доступу”. Крім цього, можна створити клон Telegram, наприклад, як описано тут. Конкретно описана в цьому прикладі схема може не працювати на практиці, але аналоги досі спрацьовують. Особливо з любителями пересилати документи через соціальні мережі.

Помилкова базова станція

Тут старички з усмішкою зазвичай починають говорити “а де ж шахраї візьмуть стільки грошей на дороге устаткування” або “як же вони розшифрують SMS”. Але правда полягає в тому, що в інтернеті вже є цілі мануали по підняттю неправдивої базової станції для перехоплення SMS з модемом з “мотороли” за 30 баксів і простеньким софтом, що було продемонстровано ще в 2013 році.

Нагадаю, що в 2010 році вартість кустарного обладнання для перехоплення GSM дійсно починалася від 1500 до 5000 доларів США. Існує і більш дороге і важкодоступне обладнання, описане в цій статті. Вже відносно давно є досить великі проекти на кшталт OsmocomBB з вивчення GSM-мереж і дослідженню перехоплення даних в GSM-мережах.

Давайте змоделюємо приклад. Озброївшись телефоном Motorola за 30 баксів, парою шнурків за 15 доларів і ноутбуком зловмисник паркується біля вашого будинку, квартири, котеджу. Піднімає неправдиву стільниковий станцію, перехоплює SMS, відновлює всі необхідні доступи і “стає на лижі”.

Звичайно ж, я описав спрощену версію, насправді весь процес виглядає як-то так з певними модифікаціями” і, як правило, вимагає підготовки всієї інфраструктури заздалегідь. Важливо попередити, що в прикладі описувався концепт розгортання власної базової станції без взаємодії з реальною системою. В реальності все було б ще складніше, проте загальна тенденція впливу стільникових операторів подібним атакам видно тут.

Злом персонального кабінету абонента на сайті

Виникають ситуації, коли стільникові оператори, економлячи на безпеку своїх сервісів, допускають можливість злому власних сайтів або програм з так званим “особистим кабінетом абонента”, в яких, як правило, є дуже широкий функціонал — від прийому SMS прямо на сайті до управління балансом користувача.

Є реальний приклад одного стільникового оператора України, допустив можливість прив’язки довільного номери, або кумедна історія з російським оператором. Все це ілюструє ставлення операторів до інформаційної безпеки.

Іноді можна прикинутися “чайником” і попросити налаштувати особистий кабінет прямо в салоні зв’язку для бабусі, що телефон забула вдома, але у зловмисника, наприклад, раптово під рукою опинилася копія її паспорту. Суть проста: після заволодіння особистим кабінетом користувача можна змінити маршрутизацію дзвінків і SMS і перенаправити їх на номер зловмисника.

Захист

Як захиститися від описаних ризиків і чому на початку статті я писав саме про закордонні SIM-карти?

Нашим клієнтам ми забороняємо використовувати в якості номери відновлення доступу до інформації основний телефон. Це обов’язково повинен бути інший номер, куплений спеціально під ці цілі, ніколи не вставлений ні в один з використовуваних телефонів в Україні (щоб не можна було знайти і зв’язати по IMEI). Цей телефон повинен лежати в сухому, прохолодному та недоступному для обшуків місці, включатися і поповнюватися раз в 2-3 місяці, щоб уникнути можливості перевипуску SIM-карти оператором внаслідок тривалого невикористання.

Ми рекомендуємо ніколи не включати такий номер в країні постійної дислокації і активувати сервіси, прив’язані на цей номер, десь за кордоном. Це пов’язано з особливістю роботи стільникових операторів та проведення прослуховування.

Якщо зловмисник не знає вашого номера відновлення, йому складніше буде визначити мету, якої треба заволодіти. Тому один номер має бути для соцмереж і зовсім інший — для відновлення Gmail і фінансових платіжних інструментів.

У країнах Європи, наприклад, в Німеччині, рівень захисту персональних даних значно вище, ніж у країнах СНД, а значить комбінація з “прийшов в салон і відновив номер” не пройде. Більш того, можна попросити будь-якого одного за кордоном (якщо такий є), з яким ви довіряєте, оформити номер телефону для відновлення на його паспортні дані, і зберігати SIM-карту в себе.

Основні ризики та способи їх нейтралізації я постарався максимально коротко вмістити в рамках цієї статті. Мушу попередити, що перерахований вище список ризиків не є вичерпним і саме для цього існують компанії, ніби ProtectMaster або цілі маркетплейсы для хакерів, начебто Hacken.io, які продумують за вас моделі загроз і ризиків, складають всі можливі вектори атак, починаючи від “силовиків”, закінчуючи “хакерами” і навіть тестують безпеку ваших додатків.

Якщо вам був корисний матеріал, хотілося б отримати зворотний зв’язок у вигляді коментарів чи питань. І підписуйтесь на наш канал в Телеграм!

---