Риск взлома SMSаутентификации криптовалютных кошельков и бирж

Риск взлома SMS-аутентификации криптовалютных кошельков и бирж
Риск взлома SMS-аутентификации криптовалютных кошельков и бирж

Как считают многие представители криптосообщества, настоящее время можно назвать эрой “цифровых 90-ых”, где бизнесменов похищают за выкуп, силовики изымают оборудование и криптовалюты у подозреваемых или свидетелей, а хакеры в любой момент могут воспользоваться уязвимостями новых систем.

Именно поэтому Максим Тарасенко (White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT) — подготовил материал, в котором раскрыты основные риски использования SMS-аутентификации, которые грозят держателям биткоина и других криптовалют.

Отрасль информационной безопасности развивается семимильными шагами, но и киберпреступники с кибермошенниками не стоят на месте. Сегодня я попробую рассказать о том, почему SMS-аутентификация и телефоны — это то, от чего криптотрейдерам и криптобизнесменам, да и любым адекватным людям с высокой потребностью к конфиденциальности, стоит держаться подальше, и почему SMS-аутентификации пора умереть. Мое мнение субъективно и основывается на личном опыте. Я не претендую на истину в последней инстанции, но надеюсь, что полученная информация будет полезна читателям, поскольку она особенно актуальна в свете последних событий.

На мой взгляд, сегодня в области информационной безопасности задействовано множество так называемых специалистов, экспертов и разного рода профессионалов, которые еще в 90-ые работали на перфокартах. Мне 26, и я работаю в информационной безопасности с 14-15 лет, успел поработать в СБУ, создать свою компанию в сфере информационной безопасности (далее ИБ), запустить хакерскую конференцию и даже поучаствовать в запуске криптовалюты для хакеров.

Не так давно я решил полностью перейти на иностранные номера в мессенджерах, сменил на зарубежные все телефоны для восстановления различного рода доступов и отвязал SMS-аутентификацию везде, где это возможно. То же самое мы делаем для всех наших клиентов. Это всегда вызывает целый ряд вопросов и просьб рассказать об этом подробнее.

Навигация по материалу:

  • 1 Варианты получения доступа к вашим аккаунтам через SMS-аутентификацию
  • 2 Прослушка
  • 3 Дублирование (клонирование SIM-карт)
  • 4 Ложная базовая станция
  • 5 Взлом персонального кабинета абонента на сайте
  • 6 Защита

Варианты получения доступа к вашим аккаунтам через SMS-аутентификацию

Итак, риски перехвата SMS состоят в том, что злоумышленник, перехватив сообщение, способен завладеть вашими цифровыми аккаунтами, где номер телефона используется в качестве одной из форм аутентификации или восстановления доступа.

Основные варианты :

  • Прослушка . Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
  • Дублирование (клонирование) SIM-карты  через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
  • Ложная базовая станция  для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
  • Взлом “Персонального кабинета”  абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Теперь рассмотрим подробно каждый из рисков :

Прослушка

Негласные следственные действия, предусмотренные главой 21 Криминально-процессуального кодекса (КПК) Украины, помимо прочего включают в себя “Снятие информации с транспортных телекоммуникационных систем”, что в простонародье и называется прослушкой. В РФ это соответствует статье 186 УПК — “Контроль и запись переговоров”. Во всем мире действуют схожие нормы проведения прослушки.

Разрешение на проведение прослушки дается в следующих случаях :

  • по уголовным делам;
  • по контрразведывательным делам;
  • в рамках внешней разведки.

Субъектами, которым разрешено использовать прослушку, являются правоохранительные органы, правоохранительные органы специального назначения (спецслужбы) и службы внешней разведки.

Прослушка в Украине и в большинстве стран проводится только по тяжким преступлениям. “Тяжкое преступление” в Украине соответствует статье, которая предполагает срок лишения свободы подозреваемого от 5 лет. Например, 212 ККУ “Уклонение от уплаты налогов” — это не тяжкая статья и прослушку по такому делу получить невозможно.

Отмечу, что подробности о формах и методах проведения негласных следственных действий относятся к информации с ограниченным доступом, за разглашение которой предусмотрена уголовная ответственность, так что я буду опираться только на публично доступную информацию и на зарубежные аналоги.

Суровые реалии правоохранительной системы в странах постсоветского пространства показывают крайне высокий уровень коррупции среди правоохранителей. Выражение “все покупается и все продается”, к сожалению, актуально и в этой сфере. Силовики используют обыски, изъятия и прослушку как одну из форм давления на бизнес, а иногда и для откровенного рейдерства и грабежа. Иногда дело просто в политике. Так появилась история о том, как ФСБ Telegram взломало, в которую многие до сих пор верят. Ниже я опишу пример подобного “взлома”.

Давайте разберемся в этом деле на очень простом примере.  Следователь А  заводит уголовное дело по выдуманному заявлению  Гражданина Ш  о якобы мошенничестве на доске объявлений в интернете.  Гражданин Ш  утверждает, что неизвестный ему мошенник запросил у него предоплату за покупку IPhone 7 на кошелек QIWI, привязанный к номеру телефона +38 093…, получил деньги и ушел в закат.  Следователь А  классифицирует данное действие по статье 190 ч.3 УК Украины “Мошенничество с использованием ЭВМ”.

В рамках уголовного дела  Следователь А  получает разрешение от следственного судьи на проведение негласных следственных действий. Далее некий “неизвестный” перехватывает SMS на указанном номере и восстанавливает доступ к почте Gmail  Свидетеля К , которому на самом деле принадлежит номер +38093… Дальше магическим образом “неизвестная личность”, используя форму восстановления пароля на бирже, получает полный контроль над финансами  Свидетеля К  и тоже “уходит в закат”.

Гражданина Ш  внезапно заявляет, что ему удалось полюбовно уладить конфликт с обидчиком.  Следователь А  закрывает уголовное дело в связи с отсутствием состава преступления (есть много вариантов, как еще это сделать).  Свидетель К , обнаружив пропажу крипты, пишет заявление в полицию о пропаже, но получает отказ о внесении данных в единый реестр досудебного расследования, так как криптовалюта — не деньги, актив или товар, и украсть ее с точки зрения УПК невозможно. В этом случае адвокаты советуют  Свидетелю К  написать заявление о факте взлома почты (биржи, кошелька). Далее следствие заходит в тупик.

Если вы считаете, что двухфакторная авторизация в Telegram точно защитит вашу переписку, то вы ошибаетесь. Помните, что новые и новые схемы создаются каждый день, и безопасность всей системы характеризуется безопасностью самого слабого звена в ней.

Дублирование (клонирование SIM-карт)

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.

Про эту схему уже писали тут. На конкретном примере: злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница, интернет). Скан можно заказать в любом подобном магазине паспортов или на старом добром форуме для начинающих хакеров (внимание, магазин и форум указан только в...






НовостиICOБиржи криптовалютЗаймыКредитные картыКредитыРазноеТрейдингФорексХайпы

Риск взлома SMS-аутентификации криптовалютных кошельков и бирж | Биржа криптовалют BitMarket

Риск взлома SMS-аутентификации криптовалютных кошельков и бирж | Как вывести деньги с WebMoney на карту Приватбанка?

Риск взлома SMS-аутентификации криптовалютных кошельков и бирж | Успешное ведение переговоров

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *