Эксперты по кибербезопасности предупредили о масштабной атаке на счета россиян в мае. В начале весны в даркнете продавался доступ к уязвимости, которая позволяет перехватить звонки и sms, в том числе из банков, сообщили “Ъ FM” в компании BI.ZONE. Речь идет об особой системе, которая управляет трафиком операторов связи. Доступ к ней продавался за $30 тыс., уточняют «Известия». О рисках атаки газете рассказали специалисты компании DeviceLock, которые изучают утечки информации.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Кто может оказаться под угрозой? И реально ли организовать масштабную атаку на абонентов? На эти вопросы “Ъ FM” ответил руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков: «Особенности протокола, который там используется, — это не то, с чем обычно злоумышленники работают. Поэтому им нужно какое-то время, чтобы подготовить инструментарий, разобраться, как правильно рассылать сообщения и так далее.
А дальше все зависит от защищенности сети, например, если сеть совсем никак не защищена, то в принципе все достаточно просто.
Чтобы перехватить sms, достаточно послать два сообщения, после чего все входящие sms будут переадресованы злоумышленникам, а они уже могут их либо переадресовать дальше, либо получить вместо абонента, и абонент даже не узнает о том, что ему такая sms отправилась.
В то же время мы видим, что злоумышленники не пользуются массовой атакой. Доступ в сеть SS7 — это достаточно ценная штука, ее можно монетизировать. Злоумышленникам проще делать какие-то точечные запросы, то есть десятки запросов в день. И в этом случае они спокойно могут существовать в этой сети на протяжении многих лет, никто их особо не заметит с такой активностью. Если они попытаются сделать прямо массовую атаку, на сотни тысяч человек, то ее, конечно, наверняка заметят. Даже если этого не сделает оператор, на которого произошла атака, ее могут заметить какими-то средствами выявления аномалий и так далее. Со стороны злоумышленника это не очень осмотрительно проводить массовую атаку в какой-то день, гораздо выгоднее действовать более аккуратно и незаметно».
Начальник отдела информационной безопасности SearchInform Алексей Дрозд считает, что банки смогут отразить вероятную атаку злоумышленников. Но вместе с тем хакеры могут получить доступ к личным аккаунтам пользователей в соцсетях и мессенджерах.
«Чтобы у человека вывести деньги, мне надо инициировать перевод. Ему должно прилететь подтверждающая sms. Мы можем ее скрытно перехватить, и жертва ничего не узнает, а дальше эти деньги полетят на какой-то счет. И мне оттуда их тоже надо вывести.
Получается как минимум три направления, по которым должен работать злоумышленник.
Если взять какого-то одного богатенького человека и применить такую атаку на него, я не очень верю в ее успех просто потому, что у банков есть системы антифрода. Системы увидят подозрительную активность по счету и эти операции либо заблокируют, либо вообще этот счет заблокируют до дальнейших разбирательств.
В то же время так как это sms, можно не угонять аккаунты, а получать доступ к переписке, к различным сервисам. До сих пор много кто почту, помимо логина и пароля, защищает всего лишь sms, хотя есть другие варианты, например, те же самые мессенджеры.
Потенциальная жертва, конечно, может защититься, например, помимо sms стараться использовать что-то еще или отказаться от sms. Есть технология ОТР — one time password. Грубо говоря, у вас на телефоне стоит специальное приложение, которое каждую минуту генерирует вам какой-то код. И вот вы вместо sms вводите этот код. Есть криптоключи. Токен — он похож на флешку, которую человек должен физически вставить в компьютер и нажать на кнопку. Еще вариант push-уведомления, то есть не sms, а через всплывающие окна. В том же Telegram можно дополнительный пароль просто указать на приложение. Другое дело, что пользователи не заморачиваются на этом. Их тоже можно понять», — отметил Алексей Дрозд.
По данным компании DeviceLock, доступ к уязвимости мог купить пользователь из стран СНГ. Там отметили, что именно русскоговорящие злоумышленники сильнее всего интересовались этим предложением.