В атаках с подменой сим-карт виноваты компании, использующие SMS для…

В атаках с подменой сим-карт виноваты компании, использующие SMS для входа в учетные записи

Разработчик и IT-блогер Спенсер Дейли считает «ужасной» идею использования SMS для сброса пароля и входа в учетную запись. Этим грешат Apple, Dropbox, PayPal, Block, Google и многие другие. Именно из-за этой практики, по мнению исследователя, год за годом продолжаются атаки с заменой SIM-карт.

Атака с заменой SIM-карты заключается в том, что злоумышленник просит оператора связи перенести номер вашего мобильного телефона на его телефон. Затем мошенник получает данные для входа в учетную запись жертвы через SMS и приступает к краже денег и конфиденциальной информации.

Дэйли призывает прекратить использовать SMS для восстановления учетной записи, предлагая перейти на специальные приложения, такие как Authy или Google Authenticator, или же сбрасывать пароль через электронную почту, что тоже является более безопасным.

«Отправка SMS клиенту аналогична отправке открытки по почте. Это открытый текст (не зашифрованный), и любой может открыть ваш почтовый ящик и перехватить/прочитать его (что и происходит при атаке с заменой SIM-карты). Протокол никогда не был разработан как безопасный», – пишет Дэйли.

Исследователь заявил, что даже регистрировать учетную запись через SMS недопустимо, при этом уточняя, что речь идет не столько об SMS как части двухфакторной аутентификации, а о «повсеместном процессе сброса пароля с помощью SMS, регистрации пользователей и восстановления учетной записи», когда SMS является единственным способом доступа к аккаунту.

«Действительно, операторы связи ужасно справляются с защитой телефонных номеров клиентов и могут нести ответственность за этот недостаток. Но вот в чем дело: безопасность операторов связи всегда была плохой, ее даже законодательно признали плохой, а другие компании по-прежнему предпочитали строить критически важные системы поверх этого слабого звена», – поясняет автор статьи.

Регистрация аккаунта через одну лишь SMS для многих компаний представляется способом привлечь больше клиентов, которые не любят сложные (и более безопасные) процедуры, а предпочитают легкость. Но за это приходится платить.

Дэйли сокрушается, что за прошедшее десятилетие так и не были усилены телефонные протоколы SHAKEN/STIR, что, впрочем, все равно бы не остановило атаки с подменой SIM-карт.

SMS-сообщения также уязвимы для атак «человек посередине», которые чаще инициируются хакерами, связанными с правительствами стран.

Дэйли также называет конкретную роль крупных компаний в том, что такой небезопасный способ, как регистрация и сброс пароля с помощью SMS-сообщения, стал повсеместным.
Например, Apple помогла закрепить роль SMS-сообщений в сбросе паролей и входе в учетную запись через автозаполнения паролей из SMS. Это также позволяет использовать SMS для сброса учетной записи Apple.Google следом выпустила то же самое для Android: автозаполнение SMS для одноразовых кодов времени.

Поставщики облачных услуг, такие как Twilio, Amazon, Microsoft, Google и другие имеют финансовые стимулы, когда предлагают клиентам одноразовые SMS-коды. «Azure, AWS, Twilio, Google и т. д. Продажа этих сервисов неэтична. Это фундаментально сломанная технология, продаваемая как безопасное решение», – утверждает Спенсер Дэйли.

Невероятно, но функция сброса SMS/входа в учетную запись абсолютно повсеместна, даже когда речь идет о деньгах. Речь о приложениях Wells Fargo, Cash App (Block), Robinhood, Schwab, Paypal, Bank of America и т. д., предлагающих SMS-сообщение как способ «подтвердить, что это вы».

Службы заказа еды, соцсети и даже сервисы по хранению данных, такие как Dropbox, предлагают по умолчанию SMS для сброса учетной записи.

Спенсер Дэйли считает, что порочная практика изменится только после серьезных судебных процессов и изменения законодательства.

Источники: https://t.me/EchelonEyes/2435