По информации «Известий», преступники намерены воспользоваться уязвимостью мобильной связи, которая позволит перехватить СМС для авторизации в банковских приложениях. Все потому, что доступ к коммутатору одного из операторов сотовой связи был продан в апреле. Насколько атака опасна и как защитить свои сбережения, телеканалу «МИР 24» рассказал эксперт по кибербезопасности Павел Мясоедов.
- Что дает доступ к коммутатору и как он мог попасть на нелегальный интернет-рынок?
Павел Мясоедов: В телеком-сфере существует много протоколов, которые создавались еще в прошлом веке. Это некая система правил, алгоритмов, по которым работает обычная GSM-связь или даже связь LTE. Эти протоколы создавались, не учитывая информбезопасность, потому что хакерских атак в прошлом веке было не так много, и протокол создавался в 70-х годах, посредством которого злоумышленники могут перехватить ваш звонок или сообщение.
Протоколу сейчас 50 лет. Что нужно, чтобы получить доступ к вашему звонку или смс? Когда вы совершаете звонок, на уровне центров обеспечения у операторов происходит связь между абонентом и коммутатором. Вы сигнализируете в сторону коммутатора о том, что хотите связаться с каким-то абонентом. Коммутатор его переводит на другого пользователя, и вы соединяетесь. Так работает это в случае вашей домашней сети.
Как только звонок начинает совершаться за границу или в зону покрытия роумингового партнера – это может быть в той же стране, например, в локации на Дальнем Востоке или в каком-нибудь маленьком государстве у крупного оператора есть партнер, соответственно, у него свои коммутаторы, и через них происходит соединение с абонентом этой сети. Как только вы адресуете эту локацию, к коммутатору присоединяется дополнительная штука – пилинговый сервис. Этот сервис мониторит, какой звонок, в какое время, какой длительности, и позволяет центральному оператору делать расчет с локальным партнером. В этот момент и происходят события, которые позволяют получить доступ к вашим звонкам или сообщениям. Пилинговый сервис подменяет текущую цепочку «звонящий – адресат» и подмешивает туда дополнительного человека или программный узел, и туда начинают передаваться, дублироваться ваши данные, ваш звонок либо ваши сообщения с паролем.
- Сообщается, что наиболее уязвим стандарт SS7. Что это такое?
Павел Мясоедов: Я про него и начинал говорить. Это так называемый протокол сигнальной сети. Он был создан порядка 50 лет назад. Посредством этого протокола, как прогнозируется, и будут осуществлены атаки. Протокол используется в сетях 2G и 3G. Сети четвертого поколения уже переходят на другие протоколы, но операторы обязаны обеспечивать работы 2G и 3G. Этот протокол всегда в действии. Из-за того, что он не рассматривался в контексте информбезопасности и рисков информбезопасности, он был открыт, и туда можно с помощью биллинговых сервисов в цепочку подмешать дополнительные данные, после чего коммутатор перекидывает часть звонка или дополнительно дублирует звонок на третий телефон или программу.
- Есть логическое объяснение предположительному времени атаки?
Павел Мясоедов: История, которую хотят провернуть злоумышленники, достаточно дорогостоящая и сложная. В свободном режиме получить доступ к коммутатору не так просто, для этого нужен внешний партнер. Соответственно, у крупных операторов есть региональные и роуминговые партнеры, и они проходят одобрение компаний. Но есть некоторые регионы в мире, где вы вынуждены обращаться для того, чтобы предоставить связь своим абонентам, которые поехали туда путешествовать, к локальным игрокам.
Речь идет о том, чтобы туда вторгнуться, нужно получить доступ к серверу роуминговой компании, либо сама роуминговая компания должна стать злоумышленником. Чтобы найти такую компанию, чей сервер можно взломать, чей сервер или железо с ПО уязвимы, нужно достаточно много времени. Поэтому преступники, о которых мы слышим, которые могут атаковать наши смс и звонки в мае, чтобы получить доступ к банковским счетам, это преступники, которые, скорее всего, искали роумингового партнера достаточно долго.
Мы знаем, что они купили доступ через даркнет. Это один из способов взлома. Какой-то сотрудник роуминговой компании, скорее всего, это слил, и дальше злоумышленники нашли. У крупных операторов вроде нашей большой тройки все партнеры за рубежом, по возможности, проверяются, но бывают уязвимости. Если локальный игрок маленький, кто-то из его сотрудников мог это слить дальше в даркнет.
- В каких случаях наиболее высока опасность стать жертвой мошенников?
Павел Мясоедов: Панацеи в плане защиты от такого рода атаки сейчас нет. Надо помнить про цифровую гигиену. Если мы говорим про банковский счет, то сейчас доступ в случае основных банков происходит как минимум посредством двухфакторной аутентификации. Второй фактор – смс, которую и можно перехватить из-за уязвимости в сигнальном протоколе. Но первый фактор – ваш логин и пароль. Если вы его нигде никому не передаете добровольно, а его никогда не передают по телефону, не публикуете это в заметках в Facebook для себя, то тогда вы в достаточной степени защищены. Надо помнить о том, что минимальное количество персональных данных, данных, связанных с вашими счетами, надо отправлять в интернет. Их надо хранить у себя, как минимум в заметках в телефоне, но телефон тоже можно взломать, получив доступ посредством вируса.
- Как понять, что пошло что-то не так?
Павел Мясоедов: Методов взлома очень много, и признаков того, что вас взломали, очень много. Если мы начинаем с трубки, то это перегрев смартфона, нестандартное его поведение – есть вероятность, что у вас вирусы. Если мы говорим о теме банков и финансов, это значит, у вас могут получить доступ к паролям и заметкам, которые сохранены на телефоне. Если мы говорим о звонках, понять, что кто-то подключился к сети, практически невозможно. Единственное, что можно порекомендовать (но это серьезная мера, которая сильно может ухудшить качество вашей работы и возможности взаимодействия с миром), это отключить роуминг. Если вы отключите роуминг у своего оператора, то эта атака, которая сейчас в мае прогнозируется, близка к невозможной. Коммутатор, который находится внутри сети, всегда защищен. Вы можете отключить роуминг, но эта мера ограничит ваши возможности, поэтому, скорее, надо думать про пароли и думать, что их надо хранить.
Сейчас и банки не стоят на месте. В преддверии прогнозируемой атаки, но я не верю уже, что она произойдет, потому что про это читают и говорят все, и банки к этому готовятся, есть автоматические антифрод-системы в банках. Максимально, что злоумышленники успеют сделать, это снять у вас пять – десять тысяч рублей. Серьезные атаки провести в массе будет практически невозможно, потому что антифрод-система автоматически это заблокирует.
Банки имеют достаточно серьезные системы защиты переводов между счетами – там есть проблемы с аутентификацией, но именно в самих переводах, поэтому там деньги не смогут уходить. Мониторьте ваши кабинеты, не публикуйте ваши персональные данные и пароли в интернете. Если у вас есть подозрение, что все-таки вас кто-то взломал, например, неожиданно пришла смс (это может быть важным признаком) с паролем четырех- или пятизначным доступа к вашему кабинету, а вы туда не пытались зайти, это верный признак того, что кто-то запустил аутентификацию в вашем банк-клиенте, и просто перехватывает смс. Увидите это – позвоните в банк, в службу безопасности. Вам за это скажут лишь спасибо.
Подробнее в сюжете: Гости эфира