Загвоздка была в том, что злоумышленник смог подтвердить мой номер телефона, не имея к нему доступа. И SMS-сообщение, в котором должен был находиться одноразовый код для подтверждения операции, я не получал. Из этого сразу следует, что произошло незаконное использование одного из моих базовых идентификаторов, то есть одного из методов, по которому определяется, сам ли пользователь того или иного ресурса производит операцию или же это делает злоумышленник. Меня эта ситуация несколько насторожила, потому что SMS-сообщения достаточно часто используются для подтверждения банковских операций, регистрации на различных веб-ресурсах и других важных действий. Поэтому любая уязвимость в процессе идентификации человека посредством одноразовых кодов в SMS-сообщениях имеет статус критической, так как касается обеспечения приватности множества людей. И хотя в моем случае само по себе это действие злоумышленника не привело к какому-либо финансовому или иному ущербу, эти действия подпадают под ст. 272 УК РФ: "Неправомерный доступ к компьютерной информации", и карается наказанием вплоть до лишения свободы на срок до семи лет. Любое преступление обладает, как известно, тремя основными факторами: мотив, средство и возможность. Определив их, можно понять, что произошло и как можно защититься от уязвимости. Начинать в общем случае лучше с поиска аналогичных случаев, описанных в Интернете. Обычно сразу находится вся информация и по мотивам злоумышленников, и по инструментам, и по защите от той или иной угрозы. В моем случае нашелся единственный случай, описанный на одном из популярных форумов, где комментаторы не смогли определить мотивов злоумышленников и единственное, к чему пришли – к совету о том, что необходимо сменить номер телефона на другой. Собственно, совет хороший, но рекомендую действовать на упреждение. А именно, не использовать телефон, который вы используете для контактов с другими людьми (публично доступный) для идентификации в Интернете. Для того, чтобы последовать этой рекомендации, можно использовать любой двухсимочный телефон. Конечно, это дополнительные расходы на связь, но они окупаются. А для получения SMS-сообщений достаточно использовать самый дешевый тариф. В моем случае единственное найденное упоминание о похожей ситуации привело к понимаю, что использованный тип атак используется не часто (скорее всего, точечно). Кроме того, в явном виде мотивы злоумышленников мне неизвестны до сих пор. Составив модель угроз, я могу предполагать, что целью злоумышленников была… моя личность. То есть фактически была совершена попытка каким-либо образом действовать от моего имени. Это могло быть, например, распространение незаконной или порочащей кого-либо информации через Facebook с последующим выходом людей, расследующих ситуацию, на меня, так как аккаунт привязан к моему номеру телефона. Атака не прошла лишь по той причине, что Facebook сообщает о ситуации, когда кто-либо регистрирует к аккаунту номер, уже привязанный ранее к другому аккаунту. Следующим моим шагом было обращение к специалистам Facebook с сообщением о потенциальной уязвимости. И обращение к моему мобильному оператору с запросом списка SMS-сообщений, отправленных мне с номера Facebook за все сутки совершения атаки. От мобильного оператора я получил достаточно быстро информацию, из которой следовало, что SMS-ка попала к злоумышленнику, минуя оборудование оператора. Со специалистами Facebook мне пришлось общаться почти месяц, общение было непростым, на английском языке, с большими задержками между ответами. Но в целом от него у меня сложилось приятное впечатление. В результате этого общения выяснилось, что Facebook SMS-сообщение со своей стороны отправлял. Из этого логично предположить, что злоумышленник находится (или воспользовался уязвимостью) звена передачи SMS-сообщений, которое находится между инфраструктурой Facebook и инфраструктурой мобильного оператора. Логично предположить, что это внешний (относительно Facebook и мобильного оператора) сервис, который на вход получает от Facebook задание отправить определенное сообщение на определенный телефон, а на выходе… собственно генерирует и отправляет это сообщение в сторону оператора мобильной связи. Злоумышленник, имея влияние на этот сервис SMS-рассылок, имеет возможность как модифицировать тексты сообщений, так и отправлять их фактически на любой телефон (телефон злоумышленника). А может, и считывать данные вообще без генерации SMS. Специалисты Facebook прямо подтвердили мое предположение, что не могут напрямую контролировать инфраструктуру SMS-агрегатора, который используют для рассылки SMS-сообщений и все, что смогли предложить — это использовать другие факторы идентификации пользователя. То есть мое предположение о расположении проблемы косвенно подтвердились, хотя моих полномочий недостаточно для того, чтобы подтвердить это предположение достоверно. На этом мои возможности для частного расследования были исчерпаны. И это позволило понять, что кроме перехвата SMS-сообщений существуют и другие методы вмешательства в процесс генерации и доставки SMS-сообщений. Что в моих глазах существенно понизило ценность такого механизма идентификации пользователей. Собственно, это пересекается с рекомендациями международных организаций, например, NIST, что коды для идентификации, рассылаемые в SMS-сообщениях, не являются надежным источником для идентификации пользователя при совершении важных операций. В завершении любой басни должна быть мораль, и лично у меня она выразилась в следующих тезисах: - Для идентификации через SMS-сообщения рекомендуется использовать отдельный телефон, не связанный с публичными активностями (не тот телефон, который вы используете для общения); - Рекомендуется использовать многофакторную идентификацию (например, не только через SMS-сообщение, но и одновременно пароль и/или код, высылаемый на электронную почту) – это не всегда удобно, но ликвидировать последствия часто еще менее удобно; - Для разработчиков веб-сервисов рекомендуется вместо рассылки SMS-сообщений использовать механизм пуш-сообщений, то есть сообщений, которые приходят на мобильные приложения соответствующих сервисов (банковских, соцсетей и пр.) – все больше сервисов используют этот механизм вместо уязвимого механизма SMS-сообщений.
Свежие комментарии