Проблема двухфакторной аутентификации посредством SMS. Или как взламывают аккаунты на криптобиржах.

07 мая 2021

Введение.

Для начала, стоит объяснить некоторые термины из заголовка нашей статьи.


Двухфакторная аутентификация - это один из методов распознавания личности человека в каком-либо сервисе. В этом способе используется запрос аутентификационных данных двух типов, причём разных, что обеспечивает двухслойную, а, значит, и эффективную защиту персонального аккаунта от взлома.

На практике это обычно выглядит так: первой ступенью служит логин и пароль пользователя, второй — специальный код, приходящий несколькими способами: по SMS, электронной почте и т.д.


Двухфакторная аутентификация через СМС проста: человек заходит в свой аккаунт, и, для подтверждения личности, вводит номер телефона, на которых и приходит SMS с кодом. Этот код вводится в специально отведённое для этого поле, и все.

СМС-сообщения — наиболее популярный способ двухфакторной аутентификации (2FA). Ими пользуются почти все банки, электронные и крипто-кошельки, почтовые ящики и другие сервисы.




SIM-своппинг

К сожалению, данный метод двухэтапной аутентификации через SMS является далеко не безопасным.

Существует такая схема мошенничества, как SIM-свопинг. Суть ее проста: злоумышленники переназначают номер телефона с одной SIM-карты на другую, прикрываясь восстановлением номера при утере карты.


Завладеть чужим номером можно подкупив сотрудника сотовой связи, с помощью поддельных документов и многими другими способами.

Таким образом, контролируя чужие симки, мошенники получают доступ к электронным кошелькам, банковским счетам, аккаунтам в социальных сетях и даже к криптовалютам.



Перехват сообщений через протокол SS7

Также для перехвата SMS зачастую используют вмешательство в протокол SS7. SS7, также известный как Сигнализационная система № 7, относится к ряду технических правил, регулирующих обмен данными. Разработанный в 70-х годах прошлого века для отслеживания и подключения вызовов в разных сетях операторов связи, в настоящее время SS7 используется для расчета биллинга (выставление счетов клиентам за оказываемые услуги) сотовой связи и отправки текстовых сообщений.

Перехват SMS мошенниками осуществляется так: сначала ими выясняются логин и пароль жертвы для онлайн-банкинга. Затем, зайдя в онлайн-банк, они отправляют запрос на перевод денег. Большинство банков требуют дополнительное подтверждение для перевода и отправляют код, чтобы убедиться, что операцию выполняет владелец счета.


Если банк отправляет кодовые цифры в SMS, то злоумышленники, пользуясь уязвимостью SS7 (отсутствие проверки личности, отправляющей команды), перехватывают сообщение и вводят код, выдавая себя за жертву. Банк переводит деньги, считая операцию законной, ведь она была подтверждена двухфакторной аутентификацией.



Актуальность SIM-свопинга в России

К сожалению, SIM-свопинг распространён и в России. Существует множество теневых форумов, некоторые из которых доступны даже через поисковик Google, предоставляющих услуги по восстановлению SIM-карт в РФ.

Большая часть из них предлагает восстановление симок таких операторов, как Теле2, МТС, Билайн, YOTA, Мегафон и т.д.

Стоимость подобных услуг составляет от 15 000 до 200 000 рублей, в зависимости от цели восстановления SIM-карты (для доступа к социальным сетям, криптобиржам и т.д), срочности заказа, статуса активности симки, оператора, региона и тому подобное.



Пример из реальности

Для полного понимания информации, представленной выше, приведём пример SIM-свопинга.
Известен случай с Грегом Беннеттом, подавшим в суд на криптобиржу Bittrex за низкую безопасность и плохую работу техподдержки, вследствие которых были украдены биткоины, общая стоимость которых составила около 24 миллионов долларов.


Злоумышленники проникли и вывели средства с криптобиржи не смотря на двухэтапную аутентификацию с помощью SMS благодаря SIM-свопингу.

К счастью, Беннетт выиграл суд, и компании пришлось вернуть украденную злоумышленниками криптовалюту.



Итоги

К счастью, большинство криптобирж в настоящее время используют для двухфакторной аутентификации пользователей Google Auth или же аппаратные устройства.
Но, к сожалению, многие сервисы до сих пор поддерживают 2FA через SMS, к примеру Binance, Coinbase, Bitfinex и многие другие.