Лошадь сдохла. Или небезопасный СМС-канал продолжают использовать всё шире, помогая мошенникам.

Я уже немало раз писала про опасность СМС-паролей и привязки всего и вся к номеру телефона, особенно банковских сервисов. У североамериканских индейцев есть мудрость: "Лошадь сдохла - слезь!". Только вот в России и некоторых странах Азии предпочитают и дальше ехать на сдохшей лошади, в то время как с неё давно пора бы слезть. И этой сдохшей лошадью как раз являются СМС-пароли, которые применяются в качестве простой электронной подписи (ПЭП), в качестве быстрого залогинивания в тот или иной сервис, в качестве второго фактора аутентификации при двухфакторной аутентификации наряду с традиционными логином и паролем.

Всё дело в уязвимости, связанной с сигнальным протоколом ОКС-7, он же SS-7, который был придуман компанией AT&T Inc в США в 70-е годы XX века и с тех пор не менялся. При этом протокол стал мировым стандартом в области телефонии. Глупо думать, что американские инженеры заложили бомбу под телефонию, просто в те времена этот протокол был чем-то современным и прорывным.

Мы уговариваем себя, что есть ещё надежда.

В России несколько раз взламывали известный мессенджер Telegram с помощью SMS. Западные эксперты не раз предупреждали, что привычные текстовые сообщения скоро в принципе перестанут использоваться в двухэтапной аутентификации. Так оно и есть, только за рубежом - в странах вроде США и ЕС. Но, не в России. В России по-прежнему широко используется СМС-канал для доставки одноразовых кодов. И более того, многие банки его активно "рекламируют", а микрокредитные организации применяют для подписания договоров займа. Чаще всего СМС-пароли и коды применяются для работы с физическими лицами. Райффайзенбанк имел некогда карты сеансовых ключей, но отказался от них, сочтя их устаревшими. Газпромбанк некогда предлагал OTP-токен для входа и подтверждения операций в своих дистанционных сервисах. Но, сейчас этого нет, применяются пресловутые СМС-коды.

Мы бьём дохлую лошадь сильнее.

ПАО "Мегафон" как-то уверяло, что у них есть контроль за атаками даже проводились учения. Это похвально, это в принципе говорит о том, что кому-то не безразлична судьба своих клиентов. Но, есть неприятное "но" - это дополнительные затраты на тесты, учения, работу сотрудников, которые компенсируются за счёт самих клиентов в той или иной степени.

Перехватывать и отражать атаки можно сколько угодно, только это не спасёт от дубликата сим-карты. Хотя некоторые банки вроде "Сбера" и "Русского Стандарта" реагируют на смену сим-карты, не высылая туда СМС-коды.

Все эти усилия напоминают хлестание сдохшей лошади кнутом, чтобы она всё же скакала. На самом же деле просто пришла пора расставаться с СМС-сообщениями. В ФРГ вообще отказались от СМС-паролей. В конце июля 2016 года NIST (Национальный институт стандартов и технологий США), подведомственный Минторгу США рекомендовал запретить использование СМС-кодов в государственных системах. Это должно было стать смертью СМС как способа двухэтапной аутентификации, однако частные компании неохотно прислушиваются к рекомендациям института. Всё же сдвиги есть, постепенный отказ от СМС идёт. Вместо СМС предлагается использовать более защищённые методы вроде приложений для смартфона, генерирующих коды по сложному алгоритму без всякой передачи данных. И этот способ тоже плох хотя бы тем, что для смартфонов есть вредоносное ПО как и для компьютеров. Мобильная платформа - плохой вариант тоже, как и СМС в прочем. Лучшим способом аутентификации всё же остаются OTP-токены, т.к. они уж точно не могут быть заражены вредоносным ПО.

Мы говорим: "Мы всегда так скакали".

Беда в том, что не все пользователи готовы пожертвовать безопасностью во имя удобства, ведь альтернативные методы сложнее в обращении. Сотовые операторы имеют свои "шкурные" интересы, т.к. за СМС надо платить тем, кто их шлёт. И банки, сервисы займов, сервисы государственные и т.д. являются идеальными поставщиками денег для сотовых операторов. В 2017 году было принято решение об удорожании СМС-трафика для банков и не только, в дело даже вмешалась ФАС. Антимонопольщики стали отстаивать интересы клиентов, для которых СМС-информирование по операциям могло подорожать. Ещё в конце 2017 года ФАС получала жалобу от Национального совета финансового рынка (НСФР) из-за роста цен за СМС для клиентов. В Совете Федерации обеспокоились тоже и было принято решение поручить ФАС провести расследование по этому факту. "Большая четвёрка" ("МТС", "МегаФон", "Билайн", "ТЕЛЕ 2") получила предостережение. В 2023 году из-за войны санкций между странами Запада и Россией и перебоев с поставками телекоммуникационного оборудования встал вопрос о росте цен на услуги сотовых операторов. Помимо санкций в пользу удорожания играют: параллельный импорт с его удлинением и усложнением маршрутов поставок, а так же низкий курс рубля по отношению к доллару, евро, юаню. И вот повышение платы состоялось. Операторы

Мы ж ведь всегда так скакали и будем скакать дальше, даже если к небезопасности добавится ещё и дороговизна. Тут уже сам Бог велел отказываться от СМС, но нет же! Прям какой-то экономический мазохизм выходит.

Мы организуем мероприятия по оживлению дохлых лошадей.

Антимонопольщики одно время бились с сотовым квартетом, чтобы те не повышали цены для шлющих СМС-сообщения сервисов, в последнее время уже не бьются. Банки вообще наловчились использовать СМС-пароли для подписания документов вроде договоров займа и УДБО, мотивируя это отказом от бумаги. Дальше всех ушёл "Почта Банк", который уже наверняка забыл про бумажные договоры. Из людей делают лохов, объясняя это цифровизацией. Лично я бы не стала подписывать устаревшим и небезопасным способом юридически значимые документы, которые устанавливают правоотношения. Тут уж лучше бумага или УКЭП.

Вместо отказа от СМС-паролей как второго фактора в двухфакторной аутентификации, СМС-пароли применяются как простая электронная подпись, подменяя собой автограф, даже там, где это совсем не уместно.

В чём собственно опасность?

Можно сколь угодно говорит о сдохшей лошади, это не сделает её живой. Опасность СМС-паролей очевидна, тому даже есть подтверждения.

В 2014 году у клиента банка "Хоум Кредит" (ООО "ХКФ Банк") похитили со счёта более 600 тысяч рублей, просто перевыпустив СИМ-карту с его номером. Мошенники просто пришли с липовой доверенностью в центр обслуживания абонентов "МТС" и просто получили дубликат "утерянной" сим-карты. Потом спокойно получали одноразовые пароли и переводили деньги куда им было нужно, при этом получая ещё и СМС-сообщения о проведённых операциях. Гениально! В банке вовсю отрицали инцидент, потом всё же заявили, что инцидент был и что такие случаи единичны. Можно сколько угодно прессовать сотрудников МТС, наказывать за невнимательность, только вот похищенные средства уже вряд ли вернуть получится. Что упало - то пропало.

В конце апреля 2016 года были взломаны учётные записи в Telegram двух иностранных агентов, навальнистов и оппозиционных активистов - Олега Козловского и Георгия Албурова. Атака шла не в лоб на "телеграмовский" протокол и не на шифрование. Атакован был пресловутый сигнальный протокол ОКС-7 (SS-7). Дело в том, что Telegram использует СМС в качестве канала доставки секретных кодов для входа в учётную запись. Посредством атаки на сигнальный протокол злоумышленники перехватили эти самые коды из СМС и вошли. Всё делалось ночью, во время взлома Албурову и Козловскому отключили возможность приёма СМС и на их телефоны не пришли запрашиваемые пароли. Зато атакующими они были получены и применены по назначению.

Представители МТС заявили, что "никаких целенаправленных действий по отключению услуг не производилось". Оператору даже и не нужно это делать, не нужно и атаковывать мощности оператора.

МТС в интернете стали расшифровывать как "Мы тебя сольём". Компания получила удар по репутации, затем всё же отграла позиции.

Чтобы избежать таких ситуаций, в Telegram советуют устанавливать дополнительный пароль для входа в учётную запись. По их словам в сочетании с СМС-кодами этот подход должен обеспечить максимальную защиту от взлома. Только вот этой функцией воспользовался оппозиционный журналист и иностранный агент Сергей Пархоменко. И это не помогло иностранному агенту обезопаситься и спокойно агентствовать дальше. Чтобы удалить аккаунт в Telegram вместе со всеми диалогами, достаточно СМС-кода. Разработчики мессенджера решили отказаться от этой функции.

Что говорить про деньги, если СМС-коды не в состоянии защитить мессенджер. Про деньги и вообще не приходится говорить. В отношениях между банком и клиентом появляется третье лицо - сотовый оператор, который не гарантирует защиту передаваемых данных, т.к. чисто технически не может её обеспечить. СМС - это "примочка" к сигнальному протоколу ОКС-7, эти сообщения даже не шифруются ни в сетях GSM ни в LTE, ни в 3G. По воздуху летят открытым текстом и засунуты в IP-канал в 2000-е годы вместе с сигнальным трафиком для удешевления междугородных и международных звонков. Из IP-канала их ещё проще перехватить.

Допускать сотового оператора в интимные отношения между клиентом и банком - это как заниматься любовными утехами в присутствии любопытного болтуна, который обязательно об этом поведает всем, а вам краснеть и отдуваться.

Никогда такого не было и вот опять!

У Владимира Егорова - бывшего генерального директора компании-застройщика "Сибиряк" похитили деньги со счетов в банке. Преступники по липовой доверенности просто восстановили две сим-карты. Ничего не напоминает? Кажется 9 лет назад такое уже было! Только вот в этом году неизвестные преступники создали виртуальные карты, привязанные к счёту господина Егорова в банке "Дом. рф", и спокойно вывели со счетов более 94 млн рублей. Ещё и сообщения о проведённых транзакциях получили. Всю операцию мошенники провернули за 3 дня. Узнав о хищении, Егоров написал заявление в полицию. Возбуждено дело о мошенничестве в особо крупном размере.

Примечательно, что сам экс-гендиректор сейчас ожидает суда - его тоже обвиняют в мошенничестве. Егоров сам является фигурантом дела о мошенничестве. Он был задержан в середине мая. По версии следствия, во время строительства школы компания "Сибиряк" привлекала оценщика, который завысил стоимость работ на 391 млн рублей. Сначала Егорова арестовали и поместили в СИЗО, затем бывшему гендиру "Сибиряка" изменили меру пресечения на запрет определённых действий. Получается что кто-то грабил награбленное.

Да, кому я нужен (нужна)?!

Как всегда, рядовой обыватель будет тешить себя этой иллюзией, разводя гнилую демагогию в духе "нужен - не нужен", "нужна - не нужна". Оно и понятно, это одна из защитных реакций человеческой психики от воздействия негативных факторов. Только вот это напоминает логику эму, который при виде опасности прячет в песок свою голову. Даже копейки на счёте могут похитить, лишив вас ваших кровных. Для этого не надо проворачивать операцию с липовой доверенностью, а достаточно перехватить ваши СМС с кодами восстановления доступа к интернет-банкингу и выпотрошить ваши счета, взяв на вас кредит по-быстрому и переведя деньги себе же. Кто-то мошну набьёт, а вам отдуваться.

Помимо банкинга на СМС-паролях работают "Госуслуги". Кто-то вместо вечно забываемых логина и пароля предпочитает вход по одноразовому паролю из СМС по типу как покупатели логинятся на "Озон". Тут уже можно будет похитить ваши персональные данные и сделать юридически значимые действия от вашего имени, накатать ложный донос от вашего имени, сообщить заведомо ложную информацию о готовящемся теракте, подставив вас под статью по полной. Провернуть всё это можно так же без дубликатов сим и липовых доверенностей.

В заключение.

Хотелось бы сказать, что не понятно чем руководствуются власти, банки, МФО, применяя столь небезопасный способ простой электронной подписи, подтверждения входа, операций и т.д. Причин этому как минимум две: лоббизм сотовых операторов и лень пользователей. Я обращалась в Администрацию президента, в Госдуму, писала, рассказывала. Только вот никто не подумал запретить эту вакханалию с СМС-кодами.

Да и с законом о защите прав потребителей эти СМС тоже не вяжутся, это прямое нарушение его статьи 16, котрая гласит, что нельзя обуславливать приобретение одних услуг приобретением других услуг. Чтобы получить интернет-банкинг приходится приобретать услуги сотового оператора клиентам большинства банков. Без СМС и телефона на данный момент можно пользоваться услугами "ВБРР" и "АВАНГАРДА" из банков, а из электронных кошельков это Wallet One и Монета. Ру, из брокеров это "Риком Траст". Но, о них мало кто знает. Остальные игроки финансового рынка же предпочитают езду на сдохшей лошади и поплёвывание на законы.

СМС должны уйти навсегда из жизни людей, их век кончился. Не стоит вооще полагаться и на мобильные платформы вроде приложений-аутентификаторов. Для подтверждения должны применяться или старые добрые скретч-карты или аппаратные средства аутентификации, которые не связаны ни с интернетом, ни с телефонной связью вообще. Люди должны требовать от своих контрагентов, чтобы те обеспечили им аппаратные средства аутентификации. Но, люди предпочитают подвергать себя опасности, о которой и не догадываются, а может их держат в неведнеии. Тем временем лошадь сдохла и с неё пора слезать.