Під час останніх дослідженнь у Принстонському університеті з’ясувалося, що п’ять основних операторів США стали жертвами атаки “підміна SIM-картки”. Співробітники центрів підтримки клієнтів таких операторів, як Verizon Wireless, T-Mobile, AT&T, US Mobile і Tracfone, вдаються до процедур, які в свою чергу спричиняють даний тип нападу. Для того щоб підмінити Вашу SIM-карту, зловмисник телефонує операторові бездротового зв’язку і створює запит, щоб Ваш номер телефону прив’язали до його SIM-картки. Таким чином хакер бере під контроль Ваш телефон та скидує всі паролі за допомогою SMS.
Жертвою атаки “підміна SIM-картки” став авторо видання ZDNet Меттью Міллер у червні минулого року. Меттью детально описав жахливу історію про те, як він виявив, що його рахунок зламано. Зловмисник вкрав 25 000 доларів, а потім придбав на них біткоїни, пише Forbes.
Мобільні оператори вразливі атак заміни SIM-картки
Можна зробити висновок, що використання SMS для двофакторної аутентифікації (2FA) – погана ідея, але це не так.
Нещодавно користувачі Twitter отримали пораду від охоронної компанії Bitdefender. Компанія зазначає: “Користувачам рекомендується відмовитися від SMS 2FA. Більшість бездротових операторів у США вразливі до атак заміни SIM-картки і не мають належного захисту від хакерів”.
Ця порада викликала невдоволення з боку товариства Infosec. Леслі Кархарт, відомий спеціаліст з питань безпеки, заявила, що вона дуже розчарована твітом Bitdefender. Також Леслі закликає не відмовлятися від 2FA, так як не дивлячись на недоліки, ця функція допомагає уникнути багатьох проблем, пов’язаних з безпекою.
Пізніше Bitdefender роз’яснила свій твіт, який, був розміщений командою журналістів без повного розуміння проблеми. Богдан Ботезату, старший аналітик електронних загроз Bitdefender, наголосив, що стаття мала на меті підвищити обізнаність щодо проблем, спричинених двофакторною автентифікацією на основі SMS, і чому користувачі повинні розглянути можливість замінити її чимось іншим. Якщо ж альтернативи немає, 2FA на основі SMS все ще є кращим варіантом захисту.
Чи є ризик стати жертвою?
Звичайно, якщо напади підміни SIM-картки часто трапляються, існує ризик стати жертвою через використання SMS для 2FA. Це пов’язано з тим, що зловмисники зможуть підтвердити доступ до вашого облікового запису через текстове повідомлення. Спеціаліст з кібербезпеки, Джон Опденаккер, стверджує, що в цілому, ризик стати жертвою таких масових атак, як фішинг або надіслання облікових даних, набагато вище.
Альтернативи двофакторною автентифікацією на основі SMS
В ідеалі слід спробувати щось інше, наприклад ключ безпеки або додаток. Але є ще одна проблема: “Справа в тому, що багато веб-сайтів не пропонують більш безпечну опцію 2FA, наприклад, software tokens або навіть краще, hardware security tokens”, – повідомляє Opdenakker.
Однак якщо ви не відчуваєте себе безпечно із SMS на основі 2FA, враховуючи характер даних, захищених обліковим записом, Opdenakker радить користувачам шукати альтернативну послугу з кращими можливостями захисту облікових записів. І ще один важливий крок, який ви можете зробити, щоб уникнути атак підміни SIM-картки – переконайтеся, що Ви розмовляєте з робітником мобільної мережі. Це зменшить ризик взаємодії із зловмисником.
Спеціалісти радять людям, занепокоєним захистом своїх облікових записів, розглянути додатки, такі як Microsoft, Google Authenticator або Authy. Крім того, такі сервіси, як 2FA Notifier для Chrome і Firefox, показують, які сайти підтримують 2FA і як їх налаштувати.
Нагадуємо, що увімкнення функції двоетапної аутентифікації для облікового запису Google дозволить підвищити рівень безпеки Вашого облікового запису. Як це зробити за допомогою iPhone, читайте у статті.
Зверніть увагу, виявили нову фішингову атаку на користувачів WhatsApp – шахраї поширювали за допомогою популярного месенджера повідомлення про те, що Adidas святкує ювілей і дарує футболки і взуття.
Також фірма Malwarebytes, що спеціалізується на кібербезпеці, заявляє, що знайшла попередньо встановлене китайське шкідливе програмне забезпечення на деяких телефонах, закупівлі яких частково фінансуються урядом США.
Microsoft опублікувала рекомендації з безпеки щодо вразливості Internet Explorer (IE), які зараз експлуатуються в реальності – так званий “нульовий день”
Окрім цього, викрили злочинну групу у зламі ліцензійних систем захисту стоматологічного програмного забезпечення – зловмисники спеціалізувалася на зламі програмного забезпечення стоматологічних 3D-сканерів.