9 Ноября, 2018

Риски использования телефонных номеров для проверки подлинности

Panda Security в России и СНГ
Хотя данная статья предназначена скорее для крупных компаний, однако она может быть полезной и для любого домашнего пользователя, который использует различные онлайн-сервисы с конфиденциальной или финансовой информацией, и/или является сотрудником какой-либо компании.
Крупные компании подвержены уязвимостям, которые могут привести к серьезным финансовым потерям, причем некоторые из этих уязвимостей проявляются прямо из процедур безопасности. Именно на это было обращено внимание в недавнем судебном иске против AT & T за кражу в общей сложности 24 миллионов долларов США у одного из ее клиентов, криптовалютного инвестора Майкла Терпина. Злоумышленники не проводили сложнейшую атаку, которая смогла бы обойти файерволы и другие барьеры безопасности на платформе криптовалюты, а использовали очень простой вектор атаки: номер телефона жертвы.
SIM -карты уязвимы
Терпин основывает свой судебный иск на ответственности телекоммуникационного провайдера за двойную атаку, которую он перенес : первая из атак использовала тактику подмены SIM -карты (SIM swap hack ), которая предоставила злоумышленнику доступ к его телефону, и, следовательно, ко всем его приложениям для онлайн-сервисов. В этом плане SIM-карты необходимы для процессов двухфакторной авторизации (2 FA ). Теоретически, одновременно не может существовать две SIM-карты с одинаковым номером – на этом принципе построена проверка онлайн-аккаунта с использованием номера телефона для повышения уровня безопасности. Владелец аккаунта получает определенный токен (например, код доступа к онлайн-аккаунту), как правило, через SMS прямо на свой мобильный телефон.

Однако бывают случаи, когда SIM-карта может остаться без контроля со стороны своего владельца: например, когда карта была потеряна, украдена и т.д. В этот момент данные могут быть переданы на устройство, принадлежащее другому лицу, которое как бы заменяет реального владельца (умышленно или по ошибке). В соответствии с иском, после первой подмены SIM-карты, сотрудник AT & T должен был передать злоумышленнику один из токенов, полученных Терпином на своем телефоне, для повторной активации SIM-карты.

А вот теперь произошла и вторая атака: злоумышленник, после получения контроля над SIM-картой, а значит, и всеми онлайн-аккаунтами Терпина с помощью процедуры двухфакторной авторизации (2FA), смог получить доступ к криптовалютной платформе, в результате чего украл его деньги. Терпин считает, что провайдер проявил халатность как в плане своего сотрудника, который стал соучастником в краже, так и в том смысле, что оперативно не отменил соединение между его данными и SIM-картой, чтобы опередить злоумышленника.

В любом случае, он уже стал не первой жертвой такого рода атак, потому что 2 FA – это один из наиболее часто используемых в крупных компаниях процедур проверки подлинности личности при доступе к своим онлайн-сервисам. По этой причине, многие эксперты ставят под сомнение безопасность 2FA через мобильные телефоны .

Учитывая, что пользователи полностью находятся в руках своих собственных устройств и мер безопасности своего телекоммуникационного оператора, если эта авторизация – единственный способ контроля, то он также может быть опасным для крупных компаний. Особенно, если сотрудники используют корпоративные мобильные устройства, которые предоставляют им доступ к конфиденциальной корпоративной информации. Как мы уже упоминали ранее, руководители компаний представляют собой один из самых крупных рисков для корпоративной мобильной безопасности , и если, в дополнение к этому, речь идет о крупной компании, то потери в результате такой атаки могут вылиться в миллионы.

Размер имеет значение
Хотя это может показаться удивительным, но именно крупные компании (а не малые и средние предприятия) чаще всего действуют не должным образом, когда сталкиваются с кибер-атаками и уязвимостями. Именно это и подтверждают данные в отчете Penetration Risk Report , составленном консалтинговой компанией в сфере информационной безопасности Coalfire.

Исследование показывает, что из уязвимостей, обнаруженных в крупных компаниях, 49% были сопряжены с высоким риском, в то время как у малых и средних предприятий этот показатель был равен 38%. Среди наиболее распространенных уязвимостей, упомянутых в исследовании, были небезопасные процедуры и протоколы, которые включают в себя и риски безопасности, связанные с корпоративными мобильными устройствами, такими как подмена SIM-карты, что и случилось с Терпиным.

Как крупные компании могут свести к минимуму свои риски безопасности мобильных устройств?
Поскольку была показана недостаточность 2FA, сотрудникам следует использовать приложения аутентификации для своих корпоративных устройств. Эти приложения генерируют временные 6-разрядные токены, связанные с выбранными аккаунтами, которые автоматически меняются каждые 30 секунд, тем самым значительно сокращая возможности злоумышленников получить контроль над приложениями и сервисами, даже если они смогли заполучить контроль над SIM-картой.

Еще одним ключевым средством для повышения безопасности мобильных устройств является защита самой корпоративной сети: руководители служб безопасности должны предоставлять своим сотрудникам зашифрованные соединения, чтобы сотрудники могли удаленно получать безопасный доступ к корпоративным системам, используя виртуальные частные сети ( VPN ).
Наконец, крайне важно, чтобы крупные компании использовали решения информационной безопасности с опциями расширенной защиты , которые предоставляют полную видимость всех активностей на конечных устройствах, полный контроль над всеми запущенными процессами и сокращение поверхности атаки. Такой помощник как Panda Adaptive Defense является гарантией во избежание рисков. Panda Security является союзником для крупных и очень крупных компаний, предлагая специальный набор сервисов, специфических решений и поддержку, а также помогая создавать стратегии безопасности для предприятий свыше 5000 рабочих станций. Стратегия производителя нацелена на защиту конечных устройств, на которых хранятся конфиденциальные данные всей компании и ее сотрудников. Таким образом, удается сдержать любую атаку, какой сложной она бы ни была, и сократить риски и потери для компаний.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com