Кража денег с банковских счетов путем перехвата кодов в SMS

Киберпреступники взломали протокол SS7, чтобы воровать SMS с кодами подтверждения банковских транзакций.

Большинство банков используют для защиты денег своих клиентов двухфакторную аутентификацию — это те самые 4–6-значные коды, которые нужны для подтверждения транзакций или входа в интернет-банк. Обычно эти разовые коды банки присылают в SMS-сообщениях. Увы, SMS — далеко не самый удачный вариант, поскольку текстовые сообщения можно перехватить. Собственно, именно это недавно и случилось в Великобритании.

Взлом протокола SS7 и перехват сообщений

Как злоумышленники перехватывают текстовые сообщения? Существует несколько способов, самый экстравагантный из них — через несовершенство протокола SS7 (который по-русски называется ОКС-7). Его используют операторы связи по всему миру для маршрутизации звонков и заодно для передачи SMS.

Подробнее о протоколе можно почитать в этой статье, но основная идея в том, что в протоколе SS7 не предусмотрена проверка того, кто отправляет команды. И если киберпреступникам удается проникнуть в сотовую сеть, то они получают возможность перенаправлять сообщения и звонки без ведома абонента, которому они адресованы.

Как работает схема с перехватом SMS

Схема работает так: сначала киберпреступники выясняют логин и пароль жертвы для онлайн-банкинга — например, с помощью фишинга, клавиатурных шпионов или банковских троянов. Войдя в онлайн-банк, они отправляют запрос на перевод денег. Большинство современных банков требуют дополнительное подтверждение для перевода и отправляют код, чтобы убедиться, что операцию выполняет именно владелец счета.

Если банк отправляет код в SMS, то злоумышленники, пользуясь уязвимостью SS7, перехватывают сообщение и вводят код, как будто получили его на телефон жертвы. Банк переводит деньги, считая операцию абсолютно легитимной, потому что она авторизована дважды: сначала паролем, а потом — разовым кодом. В результате довольные кибермошенники беспрепятственно получают чужие деньги.

Кража денег с помощью взлома SMS: от теории к практике

Специалисты по информационной безопасности уже давно предупреждали о теоретической возможности подобного взлома. И пару лет назад это произошло на практике: в Германии была зафиксирована массовая атака на клиентов банков по данному сценарию. А совсем недавно это случилось снова, на этот раз в Великобритании: по сообщению издания Motherboard, мишенями стали некоторые клиенты банка Metro Bank.

Но есть и хорошие новости. Как прокомментировали представители Metro Bank, с подобной ситуацией столкнулось чрезвычайно мало клиентов и «никто не лишился своих денег в результате атаки».

Как защитить свой банковский счет

Всего этого можно было избежать, если бы не приверженность банков двухфакторной аутентификации на основе текстовых сообщений вместо, например, специальных приложений или даже аппаратных аутентификаторов наподобие YubiKey.

К сожалению, за редким исключением финансовые учреждения обычно не предлагают каких-либо других видов двухфакторной аутентификации, кроме SMS. Остается надеяться, что в дальнейшем ситуация изменится и число банков по всему миру, предоставляющих клиентам более широкий выбор надежных вариантов защиты, будет расти.

Из этой истории можно сделать следующие выводы:

• Повсеместно применять двухфакторную аутентификацию очень желательно, но при этом вместо SMS лучше пользоваться более безопасными вариантами, такими как приложения-аутентификаторы или YubiKey.
• Защищайте свои устройства от банковских троянов и клавиатурных шпионов с помощью надежного антивирусного решения — таким образом вы не дадите им выведать ваши логины и пароли и убережете себя от ситуаций, описанных в этой статье.

06.02.2019