В атаках с подменой сим-карт виноваты компании, использующие SMS для…


В атаках с подменой сим-карт виноваты компании, использующие SMS для…

В атаках с подменой сим-карт виноваты компании, использующие SMS для входа в учетные записи

Разработчик и IT-блогер Спенсер Дейли считает «ужасной» идею использования SMS для сброса пароля и входа в учетную запись. Этим грешат Apple, Dropbox, PayPal, Block, Google и многие другие. Именно из-за этой практики, по мнению исследователя, год за годом продолжаются атаки с заменой SIM-карт.

Атака с заменой SIM-карты заключается в том, что злоумышленник просит оператора связи перенести номер вашего мобильного телефона на его телефон. Затем мошенник получает данные для входа в учетную запись жертвы через SMS и приступает к краже денег и конфиденциальной информации.

Дэйли призывает прекратить использовать SMS для восстановления учетной записи, предлагая перейти на специальные приложения, такие как Authy или Google Authenticator, или же сбрасывать пароль через электронную почту, что тоже является более безопасным.

«Отправка SMS клиенту аналогична отправке открытки по почте. Это открытый текст (не зашифрованный), и любой может открыть ваш почтовый ящик и перехватить/прочитать его (что и происходит при атаке с заменой SIM-карты). Протокол никогда не был разработан как безопасный», – пишет Дэйли.

Исследователь заявил, что даже регистрировать учетную запись через SMS недопустимо, при этом уточняя, что речь идет не столько об SMS как части двухфакторной аутентификации, а о «повсеместном процессе сброса пароля с помощью SMS, регистрации пользователей и восстановления учетной записи», когда SMS является единственным способом доступа к аккаунту.

«Действительно, операторы связи ужасно справляются с защитой телефонных номеров клиентов и могут нести ответственность за этот недостаток. Но вот в чем дело: безопасность операторов связи всегда была плохой, ее даже законодательно признали плохой, а другие компании по-прежнему предпочитали строить критически важные системы поверх этого слабого звена», – поясняет автор статьи.

Регистрация аккаунта через одну лишь SMS для многих компаний представляется способом привлечь больше клиентов, которые не любят сложные (и более безопасные) процедуры, а предпочитают легкость. Но за это приходится платить.

Дэйли сокрушается, что за прошедшее десятилетие так и не были усилены телефонные протоколы SHAKEN/STIR, что, впрочем, все равно бы не остановило атаки с подменой SIM-карт.

SMS-сообщения также уязвимы для атак «человек посередине», которые чаще инициируются хакерами, связанными с правительствами стран.

Дэйли также называет конкретную роль крупных компаний в том, что такой небезопасный способ, как регистрация и сброс пароля с помощью SMS-сообщения, стал повсеместным.
Например, Apple помогла закрепить роль SMS-сообщений в сбросе паролей и входе в учетную запись через автозаполнения паролей из SMS. Это также позволяет использовать SMS для сброса учетной записи Apple.Google следом выпустила то же самое для Android: автозаполнение SMS для одноразовых кодов времени.

Поставщики облачных услуг, такие как Twilio, Amazon, Microsoft, Google и другие имеют финансовые стимулы, когда предлагают клиентам одноразовые SMS-коды. «Azure, AWS, Twilio, Google и т. д. Продажа этих сервисов неэтична. Это фундаментально сломанная технология, продаваемая как безопасное решение», – утверждает Спенсер Дэйли.

Невероятно, но функция сброса SMS/входа в учетную запись абсолютно повсеместна, даже когда речь идет о деньгах. Речь о приложениях Wells Fargo, Cash App (Block), Robinhood, Schwab, Paypal, Bank of America и т. д., предлагающих SMS-сообщение как способ «подтвердить, что это вы».

Службы заказа еды, соцсети и даже сервисы по хранению данных, такие как Dropbox, предлагают по умолчанию SMS для сброса учетной записи.

Спенсер Дэйли считает, что порочная практика изменится только после серьезных судебных процессов и изменения законодательства.

Источники: https://t.me/EchelonEyes/2435

 

Related Posts

АК-ВС 2

Позволяет проводить анализ в соответствии с РД НДВ

АК-ВС 3

Позволяет проводить анализ в соответствии с РД НДВ и Методикой ВУ НДВ

Доступные отчеты

Статический анализ

Статический анализ

Динамический анализ

Динамический анализ

Расширенный функционал

ПАК «Рубикон» 1U

Технические характеристики

  •  форм-фактор: 1U для монтажа в 19” стойку;
  •  производительность межсетевого экрана: до 5 Гбит/с;
  •  производительность системы обнаружения вторжений: до 3 Гбит/с;
  •  производительность маршрутизатора: до 5 Гбит/с;
  •  процессор: Intel® Core™ i3;
  •  оперативная память: не менее 8 GB;
  •  жесткий диск: не менее 500 GB;
  •  напряжение питания: 220 В;
  •  сетевые интерфейсы: 6 x GbE Ethernet 100/1000 RJ45 (+1 модуль расширения);
  •  модуль расширения – 4 x GbE RJ45/ 8 x GbE RJ45/ 8 x GbE SFP/ 2 x 10GbE SFP+ (модули расширения в стандартный комплект поставки не входят, заказываются отдельно);
  •  порты USB: 2 x USB 3.0;
  •  видеовыход: 1 x VGA;
  •  консольный порт: 1 x RJ45;
  •  габариты (ВхШхГ): 44 х 438 х 292 мм.

Комплект поставки

  •  аппаратная платформа*;
  •  упаковка (индивидуальная картонная коробка);
  •  формуляр на ПАК;
  •  диск с дистрибутивом;
  •  диск с документацией;
  •  кабель питания;
  •  консольный кабель;
  •  сертификат на техническую поддержку;
  •  гарантийный талон.

*если предусмотрено аппаратной конструкцией, могут быть добавлены модули расширения.

Мы предоставляем возможность подобрать платформу под требования заказчика.
Более детальную информацию можно получить, связавшись с департаментом продаж по телефону +7 (495) 223-23-92 или по электронной почте sales@npo-echelon.ru.

Услуги для государственных структур

Защита информационной инфраструктуры государственных учреждений и органов власти Решения «Эшелон» позволяют не только отразить сложные и целевые атаки, но и обрабатывать данные, составляющие государственную тайну.

Возможности комплекса решений:

  • экосистема, позволяющая видеть и контролировать все происходящее в корпоративной сети;

  • высокопроизводительный сбор событий информационной безопасности в инфраструктуре предприятия;

  • оперативное выявление таргетированных атак, инцидентов и реагирование на них до наступления серьезных последствий;

  • просмотр и анализ информации о действиях пользователей в корпоративной сети;

  • применение KOMRAD Enterprise SIEM позволяет эффективно выполнять требования регуляторов к защите персональных данных, обеспечивать безопасность критической информационной инфраструктуры;

  • межсетевое экранирование и обнаружение вторжений;

  • обеспечение безопасной работы с данными, составляющими государственную тайну в соответствии с нормативными требованиями регуляторов;

Услуги для крупного бизнеса

Перед крупным бизнесом стоят более масштабные задачи по защите своей информационной инфраструктуры. Прежде всего, это необходимость выстроить единую систему управления безопасности, а также анализ защищенности информационных активов компании и поиски возможных утечек. 

Возможности комплекса решений:

  • экосистема, позволяющая видеть и контролировать все происходящее в корпоративной сети;
  • высокопроизводительный сбор событий информационной безопасности в инфраструктуре предприятия;
  • оперативное выявление таргетированных атак, инцидентов и реагирование на них до наступления серьезных последствий;
  • просмотр и анализ информации о действиях пользователей в корпоративной сети;
  • применение KOMRAD Enterprise SIEM позволяет эффективно выполнять требования регуляторов к защите персональных данных, обеспечивать безопасность критической информационной инфраструктуры;
  • межсетевое экранирование и обнаружение вторжений.

Компания «Эшелон» предлагает расширенные средства для комплексного обеспечения безопасности корпоративной инфраструктуры любого уровня сложности.

Услуги для малого и среднего бизнеса

Небольшим компаниям, как правило, нужно решение быстрое в реализации и легко вписывающееся в рамки ограниченного бюджета.

В штате Вашего предприятия нет отдельной службы информационной безопасности?
Тогда Вам подойдут готовые и эффективные решения от АО “Эшелон Технологии”.