Продемонстрирован новый простой способ перехвата SMS

17 марта 2021 г., 9:35

Безопасность

Упущение в регулирования служб SMS, продемонстрированное белым хакером под псевдонимом Lucky225, позволяет захватывать телефонные номера за считанные минуты, просто заплатив за перенаправление текстовых сообщений. Хакер воспользовался услугой Sakari, одного из представителей обширной экосистемы фирм, помогающих бизнесу в организации SMS-маркетинга и рассылки массовых сообщений.

Самый дешевый план Sakai, который позволяет добавить номер телефона для отправки и получения текстов, стоит $16 в месяц. Как показал Lucky225, хакер может легко зарегистрироваться под чужим номером и получать предназначенные для него текстовые сообщения.

В отличие от взлома SIM-карты, когда жертва полностью теряет сотовую связь, в этом случае телефон кажется нормальным, его настоящий владелец просто перестает получать сообщения.
Тели Тукету (Teli Tuketu) генеральный директор фирмы кибербезопасности Okey Systems, где работает Lucky225, сказал, что жертва не имеет никакой возможности сразу узнать о перехвате её текстовых сообщений. Он также заверил, что этот ранее неизвестный вектор атаки уже используется преступниками в целях шантажа, запугивания, опустошения банковских счетов, кражи личных секретов и персональной информации.

Причиной этой уязвимости Карстен Нол (Karsten Nohl) из Security Research Labs считает отсутствие стандартизованного глобального протокола для перенаправления текстовых сообщений третьей стороне. Сейчас это решается на уровне индивидуальных соглашений с телекоммуникационными провайдерами или SMS-хабами.

Sakari уже добавила функцию безопасности, которая требует, чтобы пользователь подтверждал кодом безопасности согласие на передачу своего номера. Также проводится аудит номеров с текстовой поддержкой «во всех учетных записях Sakari», чтобы гарантировать отсутствие злоупотреблений. Но Sakari – это всего лишь одна из многих игроков в этой отрасли.

Ева Гальперин (Eva Galperin) из Electronic Frontier Foundation заявила, что эта атака «подчеркивает важность отказа людей от двухфакторной аутентификации по SMS и, в более широком смысле, от аутентификации по номеру телефона.

От Федеральной Комиссии по Связи (FCC) ситуацию прокомментировала и.о. председателя FCC Джессика Розенворсель (Jessica Rosenworcel): «Нам необходимо лучше понять эту потенциальную уязвимость и убедиться, что мы предпринимаем правильные шаги для защиты и информирования потребителей».

Okey Systems выпустила инструмент для обнаружения этой атаки и других попыток перехвата телефонных номеров. Okey Monitoring создаёт «отпечаток пальцев» номера телефона пользователя, включая оператора связи, к которому он подключен, и его маршруты SMS. Компания также хочет получить доступ к базам SIM-карт телекоммуникационных ровайдеров, чтобы отслеживать изменения и там.

Пользовательская версия Okey Monitoring бесплатна: зарабатывать деньги компания планирует другими способами, например, через корпоративные партнёрства.