СМС аутентификация – плюсы и минусы

Представители криптовалютного сообщества знают, что случаи мошенничества в последнее время перестали быть редкостью. Злоумышленники взламывают сети молодых компаний, кошельки пользователей, а также создают фишинговые ресурсы. Самый популярный способ отъема денег у криптовалютчиков – фишинг. Не спасает даже надежная СМС аутентификация.

Что такое фишинг и как работают мошенники

Для осуществления «рыбалки» требуется сайт, похожий на какой-то платежный шлюз. Это может быть интернет-магазин, платежная система или сервис обмена криптовалют. Мошенник подкладывает свой крипто-кошелек так, что вы и не заметите как переведете средства именно ему.

Помните, что операции с криптовалютой невозможно отменить. Заявка сразу отправляется в систему и, если не создать противоречащую транзакцию за время обработки операции, средства будут потеряны. Что-либо доказывать будет бессмысленно, а блокчейн не вернет деньги.

В направлении совершенной защиты от кибер-преступников движутся сотни крупных компаний. Злоумышленники также совершенствуют способы атаки – взламываются крипто-биржи, похищаются личные данные, на рынок ICO частенько выходят компании, желающие собрать деньги и кинуть клиентов.

Сегодня мы поговорим о кибер-безопасности. К SMS-подтверждениям следует относиться крайне осторожно, как трейдерам, так и крипто-предпринимателям. Привязка к телефону делает человека зависимым. SMS-аутентификация – это устаревшая технология, нуждающаяся в срочной замене.

Улучшенный вариант защиты. Пользователю лучше перевести мессенджеры и любые интернет-сервисы на иностранные номера телефонов для восстановления доступов. SMS-подтверждение нужно выключить везде, где только можно. Это необходимо сделать каждому. Вы спросите, а почему, зачем, в чем причина? Потерпите немного, всему свое время, прочитайте статью и сами все поймете.

Начнем с того, что SMS легко перехватить, преступники уже делают это. Перехватив сообщение они способны завладеть данными учетной записи, где номер телефона используется для восстановления пароля. Может двухфакторная аутентификация повысит безопасность? Нет, это тоже не вариант и да, перехватить проще всего SMS местного оператора, поэтому лучше пользоваться услугами иностранных компаний.

Как мошенники перехватывают СМС

Способов перехвата SMS-сообщений множество:

1. Прослушка. Метод используется правоохранителями. Применяется как превышение служебных полномочий или нецелевое использование материалов для «подпольных» расследований.
2. Клонирование SIM-карт. Происходит через операторов мобильной связи. Для этого используются персональные данные клиента. После создания дубликата карта может использоваться для осуществления противоправных действий.
3. Ложная базовая станция. Специальная техника для перехвата данных. Используется для незаконной деятельности и шпионажа.
4. Взлом личного кабинета на сайте. Производится через приложения посредством вирусов или других зловредных программ. Сообщения перенаправляются на адрес преступника. Дальше данные используются для противоправной деятельности.

Давайте рассмотрим каждый из способов, но уже более подробно.

Прослушка

На территории Украины действует негласный закон о снятии сведений с транспортных телекоммуникационных систем, проще говоря – о просушке. В Российской Федерации есть статья 186 УПК – «Контроль и запись переговоров». В развитых странах действуют схожие нормы контроля граждан. Прослушка разрешена не всегда, а лишь в таких случаях:

• Проведение уголовных расследований.
• Проведение контрразведывательных операций.
• Военные операции по внешней разведке.

На территории Украины прослушка проводится только, если было совершено тяжелое преступление. В этом случае обвиняемому грозит более 5 лет заключения. А если, к примеру, если человека подозревают в уклонении от уплаты налогов или мошенничестве, по 212 ККУ, прослушка ему не грозит. Такое преступление считается легким и специальные способы для сбора улик не используются.

Реальность такова, что уровень коррупции в странах бывшего Союза, в том числе в правоохранительной системе довольно высок. Крупный бизнес используется силовиков как инструмент давления на конкурентов – мелкие быстроразвивающиеся компании. Получается, что иногда силовики сами не придерживаются действующего законодательства и злоупотребляют служебным положением.

Никакая двухфакторная аутентификация в мессенджерах не защищает пользователей от лиц, заинтересованных во взломе учетной записи. Схемы взлома, обхода защитных протоколов и прослушки совершенствуются каждый день.

Клонирование SIM-карт

Около 80% операторов сотовой связи для восстановления утерянной симки требуют паспортные данные, которые иногда сверяют с паспортом, а также информацию о последних звонках, SMS, сумме на счете, абонентах и т.д., – все, что может помочь верифицировать клиента. В колл-центрах работают люди, выполняющие работу по скриптам. Они не думают ни о чем лишнем и действуют исключительно по алгоритму, который им дала компания.

Рассмотрим стандартный пример преступной схемы. Злоумышленник получил скан-копию паспорта. Это могло произойти в университете, на работе, в больнице, интернете. Сканы свободно распространяются в сети, в нелегальных магазинах и на форумах. Мы не призываем их покупать, будьте осторожны, если попробуете повторить, придется ответить согласно действующего законодательства. Мы выкладываем схему, чтобы вы знали ее изнутри и не попадались на удочку злоумышленников.

Получив скан документа, преступник звонит жертве, ссылаясь на важное дело и просит перенабрать, сославшись на плохую связь. Он сохраняет сведения о контактах, с которыми человек общался последние дни, затем идет к оператору и говорит, что потерял паспорт. Разумеется, копия у него уже есть, ведь злоумышленник украл ее у вас.

Оператор выдает дубликат карты. Дубликат позволит посредством СМС-авторизации получить доступ к крипто-кошельку, как бы перепрограммировав его под себя. Все, а вы останетесь без денег, так как доверились SMS-подтверждению. Схема была описана для любителей отправлять документы через мессенджеры, приветик вам!

Ложная базовая станция

Вы можете подумать, что такое оборудование стоит дорого и у жуликов нет средств на покупку дорогой техники. Они не смогут расшифровать SMS-сообщение. Да, а вы точно в этом уверены в этом? Профессионал украдет ваши личные данные и свинтит доступ, а может и управление SIM-картой в считанные секунды!

Если поискать, в сети можно найти целые пособия по поднятию псевдо-базовой станции для перехвата и расшифровки текстовых сообщений. Перехват запросто осуществим и оборудование обойдется не дороже 30 баксов. В 2013 году было продемонстрировано как при помощи модема и олдскульной моторолы за 30 долларов с простенькими программами было перехвачено SMS. А вы бы даже ничего не заподозрили…

В далеком 2010 году кустарное оборудование для перехвата GSM стоило 2-5 тыс. долларов США. Есть и более дорогие варианты, они надежнее, мощнее и быстрее, также продается дешевая техника, скажем так, любительская. Это самые простые варианты из наборов «юный хакер».

А что дальше, установит злоумышленник эту станцию, и? А затем при помощи телефона, пары шнуров и дешевого ноутбука преступник припаркуется на такси возле вашего подъезда, дома или виллы. Затем поднимет псевдо-сотовую станцию и перехватит сообщение. Теперь ему останется лишь восстановить крипто-кошелек и «дать деру».

Взлом личного кабинета на сайте

Бывают ситуации, когда операторы чтобы сэкономить, не залатывают дыры, через которые взламывают их собственные сайты, приложения и интерфейсы. Приложения имеют полный функционал, они могут принимать текстовые сообщения и управлять балансом держателя криптовалюты.

Злоумышленник может привязать к своему номеру любой другой, если это позволяет функционал сотового оператора. Допустим, преступник приходит в салон связи и прикидывается дурачком. Для этого он говорит оператору, что желает настроить приложение бабушке, которая ничего не понимает в этом. И тут у мошенника появляется ваша копия паспорта, которую он у вас спер. Все, номер его и никому ничего вы не докажите.

Как только злоумышленник завладеет личными данными, он получит доступ к личному кабинету, изменит направление звонков и текстовых сообщений, а затем перенаправит их на свой номер, скорее всего временный.

Как защитить криптовалюты

Что же предпринять для защиты от кибер-мошенников? Мы уже писали о картах иностранных операторов для восстановления доступов. Никогда не вставляйте купленную за рубежом карту в телефоны, используемые в своей стране, чтобы он не светил IMEI. Каждое устройства связи запоминает сим-карты, которые были в него вставлены.

Храните телефон в сухом, прохладном месте – тайнике, который не смогут обнаружить при обыске помещения. Включать телефон следует только для зачисления средств на счет, чтобы сим-карту не заблокировал оператор. Пополнять карту следует раз в 3 месяца. Так вы избавите себя от необходимости перевыпуска карты, если срок ее действия закончится по причине «простоя».

Не пользуйтесь телефоном там, где живете, и показывайте его как можно реже. Это связано с риском проведения прослушки, особенно местными правоохранительными органами. Если вы хотите сохранить деньги, лучше придерживаться данных рекомендаций. Преступник может украсть телефон, используемый вами в повседневной жизни, но доступа к крипто-номеру он не получит. Также один номер можно прикрутить к отдельному аккаунту в почтовом сервисе Gmail. Его можно использовать для привязки смежных электронных платежных систем, которые будут взаимодействовать с крипто-кошельками.

В европейских странах, таких как Германия, защищенность личных данных гораздо выше, чем в постсоветских странах. Прийти в салон связи и предоставить паспорт? Это не прокатит в ЕС. Вы можете попросить знакомого человека оформить карту на себя, а затем передать ее вам. Далее вам останется лишь хранить карточку у тебя в тайнике.

Заключение

Мы рассказали лишь один из способов защиты от кибер-преступников. При желании вы можете найти множество информации об этом в сети. Предупреждаем, что тот список опасностей, который представлен в этой статье далеко не полный. Существуют проекты для хакеров, которые делятся и обмениваются информацией, преступными схемами и т.д.

Там сидят не только кибер-преступники, но и силовики, отлавливающих юных хакеров, а также тестирующие безопасность различных приложений. Задачей некоторых лиц является проверка программ, поиск уязвимостей и обновление приложений с целью защиты от хакеров.