Доброго времени суток✌
Потребители и предприятия полагаются на SMS из-за его доступности и простоты. Однако именно по этой причине он стал относительно легкой мишенью для людей с плохими намерениями. К счастью, на выбор доступны более безопасные варианты, обеспечивающие защиту пользователей и предотвращение мошенничества. SMS стали жертвой собственного успеха. Потребители и предприятия полагались на него на протяжении десятилетий из-за его универсальной доступности и простоты. Но, как это часто бывает с успешными технологиями, это мишень для плохих игроков. Сейчас доступны более безопасные альтернативы, поэтому можно рассмотреть возможность перехода на другие варианты аутентификации пользователей.
Именно в этой статье мы сегодня поговорим про SMS аутентификацию, как ее используют хакеры и какие были ошибки в крупных компаниях.
Использование SMS
Уязвимость, затронувшая некоторых клиентов Metro Bank, связана с протоколом или набором правил, которые телекоммуникационные компании используют для передачи звонков и SMS-сообщений из одной телефонной сети в другую. Протокол, получивший название Signaling System 7 или SS7, был впервые разработан в 1975 году и не предназначен для аутентификации пользователей.
Тем не менее, помимо имен пользователей и паролей, многие банки и другие компании полагаются на SMS как на дополнительный уровень безопасности для 2FA. Идея проста. Чтобы помочь проверить, является ли пользователь тем, кем они себя называют, компания отправляет текстовое сообщение с одноразовым дополнительным паролем. Затем пользователь должен ввести код доступа, который компания отправила по SMS, в дополнение к своему обычному паролю, чтобы подтвердить свою личность.
Однако хакеры узнали, как с помощью компьютера под управлением операционной системы Linux и программного обеспечения с открытым исходным кодом для написания кода, взаимодействующего с SS7, перехватывать SMS-сообщения, предназначенные для других. Вооружившись проверочным кодом SMS, отправленным банком, а также именем пользователя и паролем цели, хакер может войти в учетную запись жертвы, чтобы перевести деньги себе.
Например, хакер может войти на веб-сайт банка, используя украденные имя пользователя и пароль. Не имея возможности распознать компьютер хакера, банк может попросить его подтвердить свою личность с помощью SMS. Используя взлом SS7, хакер мог затем перехватить текст, собрать код подтверждения и использовать его для завершения процесса входа в систему.
Каким бы пугающим ни казался этот тип атаки, есть два способа, которыми клиенты и компании, использующие 2FA, могут защитить себя от него: использовать приложение для зашифрованных сообщений или использовать бесшовную 2FA.
Безопасность через WhatsApp
WhatsApp - это пример приложения для обмена сообщениями, которое шифрует все сообщения, отправляемые через его сеть, что делает их взлом чрезвычайно трудным, а то и невозможным для хакеров.
Использование WhatsApp для отправки и получения одноразовых паролей для аутентификации позволяет избежать SMS и связанных с этим потенциальных рисков. Это связано с тем, что каждое сообщение, отправленное через WhatsApp, зашифровывается уникальным кодом блокировки, который может быть разблокирован только предполагаемым получателем на другом конце. Никакая третья сторона не может расшифровать сообщение, даже сотрудники WhatsApp.
Теперь, когда решение WhatsApp Business позволило крупным и малым компаниям взаимодействовать со своими клиентами прямо в WhatsApp, приложение стало еще более привлекательной заменой SMS. Но что, если бы пользователям вообще не нужно было ничего делать для аутентификации своих мобильных устройств? Это обещание бесшовной 2FA.
Безопасность благодаря бесшовной 2FA
Вместо того, чтобы полагаться на коды доступа для аутентификации, бесшовная 2FA использует те же данные SIM-карты, что и мобильные сети для проверки подписчиков. Другими словами, с бесшовной 2FA, если пользователь использует свое устройство, он аутентифицируется.
Операторы мобильной связи используют данные внеполосной сигнализации - данные, отправляемые по отдельному каналу от вызовов и других пользовательских данных, - для проверки SIM-карты телефона в фоновом режиме. Теперь компании могут воспользоваться этой возможностью для быстрой, простой и безопасной аутентификации своих пользователей без использования кодов, отправленных через SMS, WhatsApp или любым другим способом.
Tyntec Seamless 2FA, основанная на технологии Direct Autonomous AuthenticationTM, разработанной Averon, не требует установки со стороны пользователей. Он использует данные, поступающие с SIM-карт, уже установленных в их телефонах. В этом вся разница для блокировки хакеров.
Недавние инциденты с Metro Bank высветили ограничения SMS для 2FA. А с развитием таких технологий, как шифрование сообщений и бесшовная 2FA, возможно, пришло время изучить другие методы аутентификации?
Потребители и предприятия полагаются на SMS из-за его доступности и простоты. Однако именно по этой причине он стал относительно легкой мишенью для людей с плохими намерениями. К счастью, на выбор доступны более безопасные варианты, обеспечивающие защиту пользователей и предотвращение мошенничества. SMS стали жертвой собственного успеха. Потребители и предприятия полагались на него на протяжении десятилетий из-за его универсальной доступности и простоты. Но, как это часто бывает с успешными технологиями, это мишень для плохих игроков. Сейчас доступны более безопасные альтернативы, поэтому можно рассмотреть возможность перехода на другие варианты аутентификации пользователей.
Именно в этой статье мы сегодня поговорим про SMS аутентификацию, как ее используют хакеры и какие были ошибки в крупных компаниях.
Использование SMS
Уязвимость, затронувшая некоторых клиентов Metro Bank, связана с протоколом или набором правил, которые телекоммуникационные компании используют для передачи звонков и SMS-сообщений из одной телефонной сети в другую. Протокол, получивший название Signaling System 7 или SS7, был впервые разработан в 1975 году и не предназначен для аутентификации пользователей.
Тем не менее, помимо имен пользователей и паролей, многие банки и другие компании полагаются на SMS как на дополнительный уровень безопасности для 2FA. Идея проста. Чтобы помочь проверить, является ли пользователь тем, кем они себя называют, компания отправляет текстовое сообщение с одноразовым дополнительным паролем. Затем пользователь должен ввести код доступа, который компания отправила по SMS, в дополнение к своему обычному паролю, чтобы подтвердить свою личность.
Однако хакеры узнали, как с помощью компьютера под управлением операционной системы Linux и программного обеспечения с открытым исходным кодом для написания кода, взаимодействующего с SS7, перехватывать SMS-сообщения, предназначенные для других. Вооружившись проверочным кодом SMS, отправленным банком, а также именем пользователя и паролем цели, хакер может войти в учетную запись жертвы, чтобы перевести деньги себе.
Например, хакер может войти на веб-сайт банка, используя украденные имя пользователя и пароль. Не имея возможности распознать компьютер хакера, банк может попросить его подтвердить свою личность с помощью SMS. Используя взлом SS7, хакер мог затем перехватить текст, собрать код подтверждения и использовать его для завершения процесса входа в систему.
Каким бы пугающим ни казался этот тип атаки, есть два способа, которыми клиенты и компании, использующие 2FA, могут защитить себя от него: использовать приложение для зашифрованных сообщений или использовать бесшовную 2FA.
Безопасность через WhatsApp
WhatsApp - это пример приложения для обмена сообщениями, которое шифрует все сообщения, отправляемые через его сеть, что делает их взлом чрезвычайно трудным, а то и невозможным для хакеров.
Использование WhatsApp для отправки и получения одноразовых паролей для аутентификации позволяет избежать SMS и связанных с этим потенциальных рисков. Это связано с тем, что каждое сообщение, отправленное через WhatsApp, зашифровывается уникальным кодом блокировки, который может быть разблокирован только предполагаемым получателем на другом конце. Никакая третья сторона не может расшифровать сообщение, даже сотрудники WhatsApp.
Теперь, когда решение WhatsApp Business позволило крупным и малым компаниям взаимодействовать со своими клиентами прямо в WhatsApp, приложение стало еще более привлекательной заменой SMS. Но что, если бы пользователям вообще не нужно было ничего делать для аутентификации своих мобильных устройств? Это обещание бесшовной 2FA.
Безопасность благодаря бесшовной 2FA
Вместо того, чтобы полагаться на коды доступа для аутентификации, бесшовная 2FA использует те же данные SIM-карты, что и мобильные сети для проверки подписчиков. Другими словами, с бесшовной 2FA, если пользователь использует свое устройство, он аутентифицируется.
Операторы мобильной связи используют данные внеполосной сигнализации - данные, отправляемые по отдельному каналу от вызовов и других пользовательских данных, - для проверки SIM-карты телефона в фоновом режиме. Теперь компании могут воспользоваться этой возможностью для быстрой, простой и безопасной аутентификации своих пользователей без использования кодов, отправленных через SMS, WhatsApp или любым другим способом.
Tyntec Seamless 2FA, основанная на технологии Direct Autonomous AuthenticationTM, разработанной Averon, не требует установки со стороны пользователей. Он использует данные, поступающие с SIM-карт, уже установленных в их телефонах. В этом вся разница для блокировки хакеров.
Недавние инциденты с Metro Bank высветили ограничения SMS для 2FA. А с развитием таких технологий, как шифрование сообщений и бесшовная 2FA, возможно, пришло время изучить другие методы аутентификации?
Последнее редактирование: