LINUX.ORG.RU
ФорумTalks

Еще одна жертва как бы двухфакторной аутентификации с sms

 , ,


1

1

Предыдущая новость «у них» Главного по Twitter взломали, подменив SIM-карту

А это уже у нас https://habr.com/ru/post/468909/ - у человека перевыпустили sim-карту и угнали яндекс-почту и домен.

В обоих случаях, что характерно, что мошенничество не удалось бы, если бы не существовало никакой привязки к sms.

Всё завязанное на мобилки изначально небезопасно (дыряво).

FiXer ★★☆☆☆ ()

В истории на хабре была по факту однофакторная аутентификация через смс. Вроде как тупо пароль сбросили на почту.

Deleted ()

Ситуация, конечно, отвратительная. И операторы и держатели сервисов - все давно знают о ненадежности мобилок. И пока только банки (и то далеко не все) хоть как-то что-то сделали у себя на этот счёт.

Искренне не понимаю, почему популярные сервисы с такой неохотой вводят нормальный 2FA вроде TOTP/HOTP. Работы по внедрению там совсем немного (куда проще организовать чем с мобилками). Да и приложения для OTP тоже есть в огромном количестве на любую платформу... Есть и аппаратные брелки на любой вкус (я вот, например, такой себе сам сварганил на базе простейшей атмеги 328 и маленького oled дисплея 128x64)

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 4)

В обоих случаях, что характерно, что мошенничество не удалось бы, если бы не существовало никакой привязки к sms.

Мошенничество не удалось бы, если бы кому попало не разрешали перевыпускать чужие SIM карты.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от DawnCaster

Искренне не понимаю, почему популярные сервисы с такой неохотой вводят нормальный 2FA вроде TOTP/HOTP.

Элементарно - следить за пользователями через мобилку гораздо выгоднее!

hungry_ewok ()
Ответ на: Дал им Бог TOTP, не, надо СМС-ки слать от theNamelessOne

Дал им Бог TOTP, не, надо СМС-ки слать

Удваиваю.

Хотя тут тоже не без урода: бывает что требуют ставить ведро-аддон, а опции показать ключ в открытом виде, чтобы загнать его в опенсорсный totp аутентификатор нету.

Такое тоже не нужно.

aidaho ★★★★★ ()
Ответ на: комментарий от sT331h0rs3

Мошенничество не удалось бы, если бы кому попало не разрешали перевыпускать чужие SIM карты.

Принципиально дело не в этом, а в самом подходе, когда канал аутентификации зависит от честности кого-то третьего.

praseodim ★★★★ ()
Ответ на: комментарий от FiXer

А можно для чайников пояснить, каким образом в России можно без паспорта владельца перевыпустить SIM-карту? А то по ссылке самое интересное и не рассказано :(.

Serge10 ★★★★ ()
Ответ на: комментарий от DawnCaster

все давно знают о ненадежности мобилок.

Я вот не знаю :(. Поясните, пожалуйста, как это делается?

Serge10 ★★★★ ()
Ответ на: комментарий от sT331h0rs3

если бы кому попало не разрешали перевыпускать чужие SIM карты.

Разве на это способен кто-то помимо сотового оператора?

Serge10 ★★★★ ()

А в деревне залупки машина сбила человека. Этого не произошло бы если бы никаких машин не существовало.

morse ★★★★★ ()

Звонить с перевыпускаемой в данный момент sim-карты своему оператору - это прям что-то не очень умно.

Dimez ★★★★★ ()

Что мешает при смене симки изменить привязку?

alexferman ★★ ()
Последнее исправление: alexferman (всего исправлений: 1)
Ответ на: комментарий от Serge10

А можно для чайников пояснить, каким образом в России можно без паспорта владельца перевыпустить SIM-карту?

Элементарно - социалка и/или связи.

Я как-то супруге внезапно купил новый телефон, зашёл к оператору недалеко от дома и, после небольшого разговора, мне выдали новую сим-карту (меньшего размера, тогда сим-карты были не универсальные) взамен старой. Номер оформлен, разумеется, на супругу, её паспорта (или данных) с собой не было, просто уболтал. Потом, конечно, офигел, посмотрев на ситуацию с другой стороны.

Dimez ★★★★★ ()
Последнее исправление: Dimez (всего исправлений: 2)
Ответ на: комментарий от Serge10

Мне тоже интересно. При смене владельца симки у МТС буквально сразу Сбербанк сам сбросил привязку карт к номеру.

grem ★★★★★ ()
Ответ на: Дал им Бог TOTP, не, надо СМС-ки слать от theNamelessOne

Дал им Бог TOTP, не, надо СМС-ки слать

Аппаратный ключ 800 руб + ожидание несколько дней.

Я бы лично хотел криптокалькулятор с вычислением функции от присланного числа, пина, ну и как ТОТРе от ключа и момента времени.

Но кто будет выпускать такой девайс?
Хакеры с одного ЧПУ форума, потому как ЛОРовцы скажут тебе нужен ключ то сам его и делай или плати 120000руб?

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от Serge10

А можно для чайников пояснить, каким образом в России можно без паспорта владельца перевыпустить SIM-карту?

Это вопрос возможностей конкретного клана, особенно в случае политики.

torvn77 ★★★★★ ()
Ответ на: комментарий от Serge10

А можно для чайников пояснить, каким образом в России можно без паспорта владельца перевыпустить SIM-карту?

Заводишь друзей в нужном тебе опсосе и перевыпускаешь. Что сложного-то? А если нет, то можно завести друга-нотариуса и сделать доверенность на любое имя. Паспортные данные можно найти в утекшей базе, коих вагон.

hateyoufeel ★★★★★ ()
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от Serge10

Разве на это способен кто-то помимо сотового оператора?

Конечно же, таким вот перевыпуском занимаются сотрудники оператора сотовой связи. Конечно же, за деньги.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от Serge10

В статье по ссылке подробно описано, как чувака атаковали. Проблема в том, что третья сторона (мобильная связь, СМС) на которую полагается сервис при двухфакторной аутентификации - должна быть безопасной.

А на самом деле мобильная связь имеет изъяны безопасности как в своей архитектуре (сигнальная сеть SS7), так и чисто организационные (возможность мошеннику перевыпустить для себя сим-карту жертвы по липовой доверенности, возможность дистанционно настроить переадресацию, и.т.д)

DawnCaster ()
Ответ на: комментарий от torvn77

Но кто будет выпускать такой девайс?

Берёте какую-нибудь мелкую ардуину на атмеге, маленький OLED дисплей, и за пару вечеров сами себе его и делаете. Корпус можно на 3D принтере распечатать.

DawnCaster ()
Ответ на: комментарий от DawnCaster

Вот из-за таких как ты сервисы на TOTP/HOTP и не переходят.

Думаю что из-за твоего такого подхода TOTP/HOTP даже на ЛОР внедрять не станут и ты знаешь почему.
(на самом деле не только по этому)

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 3)
Ответ на: комментарий от torvn77

Вот из-за таких как ты сервисы на TOTP/HOTP и не переходят.

Что-то не вижу тут логической связи, как именно моя самоделка мешает внедрять сайтам TOTP ? Поясните по-подробнее.

Наоборот, благодаря простоте алгоритмов, возможность создать самому на коленке устройство безопасности ДЛЯ СЕБЯ и не зависеть от других разработчиков ПО - это огромный плюс на мой взгляд. То есть - третья сторона, от которой требуется высокий уровень безопасности - это не мобильная сеть и мобильный оператор, а вы сами.

Если вы про аудит безопасности, сертификацию, и вот это вот всё: то я хотел-бы напомнить, что ни OpenPGP ни OpenSSL, которые являются своего рода стандартами в области инструментов для шифрования и используются в том числе в браузере которым вы сейчас пользуетесь - они тоже ничего такого не имеют, и по сути точно такие-же поделки. Мало того, в них находят ошибки и некоторые из них уже приводили к взломам, утечкам и убыткам.

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 2)
Ответ на: комментарий от DawnCaster

Если вы про аудит безопасности,

Всё проще, они понимают что когда пользователи сайта забегают в поисках способа попасть на сайт ты вместо реальной помощи начнёшь вот такое вот шлангование.

torvn77 ★★★★★ ()
Ответ на: комментарий от torvn77

Ээээ... какую реальную помощь вы хотите, я не понимаю ? В продаже есть куча устройств для TOTP - самых разных. В том числе даже с сертификацией. Есть приложения на смартфон и комплухтер.

Или вы про ваше устройство «на заказ» (тот криптокалькулятор?). Ну так бесплатно вам никто делать его не будет ни при каком раскладе.

Так что либо 120 тыщ, либо делайте сами. И благодаря прогрессу и интернету - решить эту задачу неподготовленному пользователю стало куда проще чем когда-либо ещё: копеечные модули с али, среда разработки ардуино для дебилов, и.т.д.

DawnCaster ()
Последнее исправление: DawnCaster (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

Есть еще проще решение, когда в банке или даже на сайте при регистрации предлагают распечатать табличку с кодами. А затем периодически ее новую печатают.

Смысл 2ФА в том, чтобы не достаточно было тупо упереть пароль с помощью кейлоггера или просто подглядев его. Бумажка с кодами решает эту задачу.

praseodim ★★★★ ()
Ответ на: комментарий от praseodim

Есть еще проще решение, когда в банке или даже на сайте при регистрации предлагают распечатать табличку с кодами. А затем периодически ее новую печатают.

Во, кстати, очень старый и надежный метод, о нём тоже стоило напомнить.

DawnCaster ()
Ответ на: комментарий от DawnCaster

распечатать табличку с кодами.

Во, кстати, очень старый и надежный метод, о нём тоже стоило напомнить.

Мне как пользователю не нравится.

Вообще лично в моём случае по факту всякая попытка зафорсить безопасность при логине кончается двумя вещами:

  1. Перебором всех моих стандартных паролей.
  2. Назначением нового пароля отличаещегося на одну две цифры от стандартного.
  3. Если при переборе не подошли пароли из п1 и 2 то при всяком новом логине получением нового пароля на емейл запертый на один из моих стандартный паролей из п.1.

Так что админы ЛОРа потенциально могут читать мою почту на майлру.(нет, у меня там аунтентификация по СМС)

И к стати это одна из причин по которой я не люблю регистрироваться на сайтах.

torvn77 ★★★★★ ()

давно про это знаю и наконец буквально на днях дошли руки отключить 2F.

crypt ★★★★★ ()
Ответ на: комментарий от Dimez

Номер оформлен, разумеется, на супругу, её паспорта (или данных) с собой не было, просто уболтал.

Но хоть Ваш паспорт (где указано, что Вы женаты на владельце SIM-карты) сотрудник посмотрел? Или на слово поверил?

У меня SIM-карта жены на меня оформлена (так получилось в свое время), так все вопросы с оператором мне приходилось самому решать, с женой даже разговаривать не хотели.

Serge10 ★★★★ ()
Последнее исправление: Serge10 (всего исправлений: 1)
Ответ на: комментарий от torvn77

Ничего не понял - какой клан, какая политика, Вы о чем?

Serge10 ★★★★ ()
Ответ на: комментарий от Serge10

какая политика

новость «у них» Главного по Twitter взломали не политика?

какой клан,

Правящий. Вообще с точки зрения формализма государство это один большой клан с субкланами.

torvn77 ★★★★★ ()
Ответ на: комментарий от hateyoufeel

Заводишь друзей в нужном тебе опсосе и перевыпускаешь.

Насколько я понимаю, для сотрудника оператора это уголовное дело. Вряд ли на это просто так пойдут ради каких-то новых «друзей».

А если нет, то можно завести друга-нотариуса и сделать доверенность на любое имя.

Я поражаюсь, как у Вас все просто. А ничего, что нотариус пол-жизни положил, чтобы получить эту должность? И идти на уголовное преступление, рисковать карьерой, свободой - ради чего? Вы понимаете возможности нотариуса? Сделки с наследством, недвижимостью - и размениваться ради какой-то SIM-карты?

Serge10 ★★★★ ()
Ответ на: комментарий от sT331h0rs3

Конечно же, таким вот перевыпуском занимаются сотрудники оператора сотовой связи. Конечно же, за деньги.

Хотите сказать, что это налаженный бизнес? И каков порядок цен на подобные услуги?

Serge10 ★★★★ ()
Ответ на: комментарий от Serge10

Хотите сказать, что это налаженный бизнес?

Судя по количеству незаконных перевыпусков - да.

И каков порядок цен на подобные услуги?

Не знаю. Не думаю, что большой.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от DawnCaster

В статье по ссылке подробно описано, как чувака атаковали.

Там просто написано, что SIM-карта была перевыпущена. Мне как раз этот момент непонятен.

имеет изъяны безопасности как в своей архитектуре (сигнальная сеть SS7)

Можно раскрыть эту мысль подробнее? У меня, к сожалению, крайне слабые представления, как сотовая связь работает :(.

возможность дистанционно настроить переадресацию, и.т.д

И вот эту тоже, если не сложно. Заранее благодарю.

Serge10 ★★★★ ()
Ответ на: комментарий от DawnCaster

Во, кстати, очень старый и надежный метод, о нём тоже стоило напомнить.

Я лет 5 работал по такой схеме с банком ВТБ, пока банк не перешел на SMS. И могу Вам сказать, что способ крайне неудобен. Во-первых, карточку с кодами легко потерять (я за эти 5 лет дважды ее восстанавливал). Во-вторых, не будешь же все время ее с собой таскать? У меня. например, она на работе лежала, это значит, что любые операции в интернет-банке я мог только с работы совершать. Что, как Вы понимаете, тоже неудобно. В-третьих, хватало такой карточки всего на несколько месяцев (при том, что я не самый активный пользователь интернет-банка) - т. е. регулярно приходилось ходить за новыми кодами в отделение банка.

Так что когда банк перешел на SMS-коды я был просто счастлив, и обратно на эту систему не хочу.

В конце концов, одной SIM-карты мало, потребуется еще одновременно логин и пароль украсть. И шансы на то, что это будет сделано до того, как я замечу проблему с SIM-картой и, соответственно, заблокирую ее, явно немного.

Serge10 ★★★★ ()
Ответ на: комментарий от Serge10

Вряд ли на это просто так пойдут ради каких-то новых «друзей».

рисковать карьерой, свободой - ради чего?

Клан.
Глава приказал, пешка исполнила.
В том числе и потому что уверена в том, что клан сможет саботировать расследование.

torvn77 ★★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от Serge10

Но хоть Ваш паспорт (где указано, что Вы женаты на владельце SIM-карты) сотрудник посмотрел? Или на слово поверил?

Свой паспорт я сам показал и он его посмотрел, не беря в руки даже, из моих рук.

Dimez ★★★★★ ()
Ответ на: комментарий от Dimez

и он его посмотрел, не беря в руки даже, из моих рук.

Он видел, что Вы супруг владельца SIM-карты? Или этот вопрос его вообще не интересовал?

Serge10 ★★★★ ()
Ответ на: комментарий от cvs-255

Липовая доверенность, например

Обсудили уже. Для этого нужен «липовый» нотариус. А имея такого, как-то странно размениваться на такие мелочи как SIM-карта - можно недвижимость и наследства отжимать ;).

Serge10 ★★★★ ()
Ответ на: комментарий от Serge10

Липовый нотариус, чтобы его не посадили, сам должен отстегивать деньги коррумпированным ментам. Уверен, что и с недвижимостью есть «специалисты», но возможно там больше сумма, которую надо отстегнуть. И связи. Порог вхождения так сказать повыше

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 2)
Ответ на: комментарий от cvs-255

Липовый нотариус, чтобы его не посадили, сам должен отстегивать деньги коррумпированным ментам.

Так об этом и речь. И если недвижимость дает достаточно денег на такие отстегивания, то угон чужой SIM-карты - вряд ли.

Я к тому, что риски не соответствуют возможной прибыли со стороны нотариуса. Поэтому и сомневаюсь, что среди нотариусов найдутся желающие заниматься подобными делами. Я уж не говорю о том, что скрыть подобное преступление практически невозможно - первое же обращение пострадавшего пользователя выведет на такого горе-нотариуса. Со всеми вытекающими для него (нотариуса) последствиями.

Serge10 ★★★★ ()
Последнее исправление: Serge10 (всего исправлений: 1)
Ответ на: комментарий от Serge10

Возможно не у всех липовых нотариусов достаточно связей, чтобы безопасно заниматься переписыванием наследства. Вот и приходится по более мелким направлениям работать.

Кроме того, а вот сотрудник опсоса, которому мошенник дает эту доверенность, он вообще имеет возможность проверить, что она подписана нотариусом, имеющим аккредитацию, а не просто рандомным бомжом?

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 2)
Ответ на: комментарий от Serge10

И могу Вам сказать, что способ крайне неудобен.

А никто и не говорил, что он удобен )))

Зато железобетонный, если список кодов получен по 100% безопасному каналу.

В конце концов, одной SIM-карты мало, потребуется еще одновременно логин и пароль украсть.

Это в банке здорового человека так. У нас таких нет. В одном крупном красном частном банке из топ 10, например, доступ к онлайн банкингу можно восстановить по номеру карты и СМС подтверждению. По крайней мере можно было около года назад, когда я проверял последний раз. Хорошо что они хотя-бы перед высылкой СМС проверяют не была-ли сим-карта недавно перевыпущена (и если да, надо к ним идти в офис и заново активировать онлайн банкинг)

И шансы на то, что это будет сделано до того, как я замечу проблему с SIM-картой и, соответственно, заблокирую ее, явно немного.

Вы недооцениваете мошенников. В статье по ссылке - они активировали карту всего через 7 минут после перевыпуска, и за считанные минуты успели сделать все свои нехорошие вещи. Жертва просто физически не успела ничего предпринять, даже оперативно получив от оператора уведомление о смене карты от опсоса.

Там просто написано, что SIM-карта была перевыпущена. Мне как раз этот момент непонятен.

Злоумышленники либо воспользовались поддельной доверенностью (заготавливается заранее, ясное дело), либо у них были подельники в салоне связи (тоже очень распространённый вариант). В общем, человеческий фактор. Как обычно.

Главное тут, что сделали всё очень оперативно. То есть - они заранее готовились и как минимум собрали нужные персональные данные - номер паспорта, телефоны, логины, пароли, и.т.д. Что-бы успеть по-быстрому залезть как минимум в почту (или банк) а там уже поживиться чем получится.

Можно раскрыть эту мысль подробнее?

Сигнализационная система № 7. Сервисная сеть (и протокол) связывающая базовые станции и операторов. Нужна для работы сотовой сети. Для всякого там управления маршрутизацией и подобного. Разработана, ясное дело, в стародавние времена и не имеет нормальных механизмов безопасности. Имея доступ к ней можно творить страшные вещи, вроде перехвата СМС, переадресации вызовов, и вообще по всякому шатать сотовую сеть.

Ходят слухи что в этой стране можно нелегально купить доступ к этой сети всего за пару тысяч зелёных (информация не моя, просто где-то натыкался в комментах на такие расценки).

Вот, старая статья с достаточно подробным описанием возможности атаки на эту сеть https://networkguru.ru/ataka-na-protokol-ss7

DawnCaster ()
Ответ на: комментарий от Serge10

Чаще всего это всё-таки подельники в салоне сотовой связи. Эти-то товарищи ничего не боятся...

DawnCaster ()
Ответ на: комментарий от cvs-255

Возможно не у всех липовых нотариусов достаточно связей, чтобы безопасно заниматься переписыванием наследства. Вот и приходится по более мелким направлениям работать.

Так связи-то примерно одинаковые нужны. Оба действия - что с наследством, что с доверенностью, являются уголовным преступлением для нотариуса. Со всеми вытекающими последствиями. Я даже не уверен, что махинации с наследством будут рассматриваться как более тяжкое преступление - ведь в обеих случаях нотариус фактически совершает один и тот же проступок - оформляет липовую доверенность. А уж как ее используют его подельники, это отдельный вопрос.

он вообще имеет возможность проверить, что она подписана нотариусом, имеющим аккредитацию, а не просто рандомным бомжом?

Нотариальная доверенность пишется на номерном бланке и заверяется личной гербовой печатью нотариуса. По которой его элементарно установить. Почему я выше и написал, что первого же обращения пострадавшего от подобного рода махинаций окажется достаточно, чтобы повязать такого нотариуса.

Serge10 ★★★★ ()
Ответ на: комментарий от DawnCaster

Хорошо что они хотя-бы перед высылкой СМС проверяют не была-ли сим-карта недавно перевыпущена (и если да, надо к ним идти в офис и заново активировать онлайн банкинг)

Ну вот видите. Т. е. уже трюк с перевыпуском карты не пройдет. Мне, кстати, пришлось не так давно в случае с Альфа-банком (Вы же про него пишете?) идти в офис без всякого перевыпуска карты - просто переставил ее в другой телефон (старый ремонтировать отдал), и этого оказалось достаточно, чтобы SMS-коды перестали работать.

В статье по ссылке - они активировали карту всего через 7 минут после перевыпуска, и за считанные минуты успели сделать все свои нехорошие вещи.

Если есть возможность получить логин и пароль, имея доступ к моб. телефону, то, да. А если такой возможности нет?

Кстати, а можно ли вообще говорить о двуфакторной авторизации при наличии возможности восстановления логина и пароля по номеру телефона? Где же здесь второй фактор, если одного номера достаточно?

Злоумышленники либо воспользовались поддельной доверенностью (заготавливается заранее, ясное дело)

Непонятно, как ее получить - см. выше рассуждени я про нотариусов.

либо у них были подельники в салоне связи (тоже очень распространённый вариант).

Этот момент тоже не до конца понятен. Разве в информационной системе оператора не остаются данные сотрудника, перевыпустившего SIM-карту? А если остаются, то мне непонятно, как таким сотрудникам удается избежать уголовного преследования?

собрали нужные персональные данные - номер паспорта, телефоны, логины, пароли, и.т.д.

С паспортом и телефонами вопросов нет. А вот откуда брать логины с паролями?

Имея доступ к ней, можно творить страшные вещи

Хм, хотите сказать, что к этой сервисной сети могут подключаться не только сотрудники оператора?

Вот, старая статья с достаточно подробным описанием возможности атаки на эту сеть

Спасибо, почитаю.

Serge10 ★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)