Bitcoin Forum
June 19, 2019, 10:02:42 AM *
News: Latest Bitcoin Core release: 0.18.0 [Torrent] (New!)
 
   Home   Help Search Login Register More  
Pages: [1] 2 3 4 »  All
  Print  
Author Topic: Опасность двухфакторной аутентификации  (Read 533 times)
mrPix
Member
**
Offline Offline

Activity: 308
Merit: 29


View Profile
April 18, 2018, 11:36:09 AM
Last edit: April 18, 2018, 10:02:22 PM by mrPix
Merited by klarki (1), Vadi2323 (1), a-pavlyc (1), esmanthra (1), temarazin (1)
 #1

Ранее тут я перечислил список ошибок, которые приведут вас к потере кровью и потом заработанной криптовалюты. Однако в комментариях обнаружил, что многие сочли мой лист чересчур параноидальным, и что обычный юзер ни за что не будет блюсти и малую часть. Ну что же, сегодня мы подробнее разберем самый базовый пунктик IRL, аки первая заповедь криптобогача, а именно: НЕ ТРЕПИСЬ

Речь, отнюдь, не пойдет о том, как злые дядьки с радостью проломят арматурой голову хвастуну-блогеру взамен на приватные ключи. И даже не о том, как могут взять в заложники и проводить терморектальный криптоанализ, пока несчастный не рассыпется в подробностях. Оставим это ВРИ СМИ. Сегодня нас ждёт разрушение юношеских упований на химеру всесилие двухфакторной аутентификации по SMS. Я сделал выжимку из материала, подготовленного Никитой Кнышем — White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT (CEO ProtectMaster). А в конце, для особо любознательных, я оставлю ссылки на пару статеек, посвященных устройству сотовой связи, случаев взлома сим-карт и прочих интересных подробностей.
_________________________________________________________________

Here we go!




Основные варианты


  • Прослушка. Перехват SMS право хранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий. Тут всё ясно, расписывать не будем

  • Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.

  • Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.

  • Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.
Дублирование

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.
Допустим, злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница). В принципе, сегодня заказать скан вообще не составляет труда. Также против вас может быть применена банальная СИ. (например, устройство на работу через интернет)
После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи. После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках.

Собсна, осталось звякнуть оператору.


Ложная базовая станция

В интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом, что было продемонстрировано еще в 2013 году.

Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”. Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит как-то так с определенными “модификациями” и, как правило, требует подготовки всей инфраструктуры заранее. Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой.


Взлом персонального кабинета абонента на сайте

Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя.

Есть реальный пример одного сотового оператора Украины, допустившего возможность привязки произвольного номера, или забавная история с российским оператором. Все это иллюстрирует отношение операторов к информационной безопасности. Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.


Подведем итоги.

Защита уровень базовый.
Я уверен, что если вы ещё не успели завладеть мульенами бетховенов, вам хватит левого никому неизвестного номера(ов), на который будет привязано все самое ценное. В принципе, даже если вы успели трепануть, это может помочь.


Защита уровень PRO
А вот, что предлагает Никита: "Нашим клиентам мы запрещаем использовать в качестве номера восстановления доступа к важной информации основной телефон. Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине (чтобы нельзя было найти и связать по IMEI). Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования.

Мы рекомендуем никогда не включать такой номер в стране постоянной дислокации и активировать сервисы, привязанные на этот номер, где-то за рубежом. Это связано с особенностью работы сотовых операторов и проведения прослушки.
Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя."


_______________________________________________________________________________ __________________________________________
Вместо послесловия Wink

1) https://xakep.ru/2017/05/05/ss7-attacks/ - "Как дыры в SS7 используют для обхода 2FA"
2) https://3dnews.ru/923316 - "Взлом сотовых сетей: не просто, а очень просто"
3) https://www.kaspersky.ru/blog/sim-card-history/10189/ - "Как устроены SIM-карты?"
4) https://www.kaspersky.ru/blog/sim-card-history-clone-wars/10529/ - "Как устроены SIM-карты. Часть вторая: атака клонов"
5) https://www.kaspersky.ru/blog/gemalto-sim-hack/7149/ - "Ночной кошмар наяву: 2 миллиарда скомпрометированных SIM-карт"
6) http://telegra.ph/Opasnost-sim-kart-podmena-nomera-i-mini-razoblachenie-08-15 - "Опасность сим карт, подмена номера и мини разоблачение"
NEW GAME FORMAT
JACKPOT UP TO $50000+
Guess The Symbols Of a Real Ethereum Hash
PLAY NOW
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1560938562
Hero Member
*
Offline Offline

Posts: 1560938562

View Profile Personal Message (Offline)

Ignore
1560938562
Reply with quote  #2

1560938562
Report to moderator
1560938562
Hero Member
*
Offline Offline

Posts: 1560938562

View Profile Personal Message (Offline)

Ignore
1560938562
Reply with quote  #2

1560938562
Report to moderator
1560938562
Hero Member
*
Offline Offline

Posts: 1560938562

View Profile Personal Message (Offline)

Ignore
1560938562
Reply with quote  #2

1560938562
Report to moderator
a-pavlyc
Hero Member
*****
Offline Offline

Activity: 728
Merit: 501


View Profile
April 18, 2018, 12:06:44 PM
 #2

Паранои много не бывает Grin Почитал,интересно, мысли совпадают. Симка бугорная давно в работе)))
Хотел бы добавить что как и в любом бизнесе профессионал всегда обставит любителя. И если у кого-то появилась причина взломать или прослушать, то скорее всего он преуспеет.
Sier86
Member
**
Offline Offline

Activity: 154
Merit: 10

X-Block.io


View Profile
April 18, 2018, 01:35:51 PM
 #3

спасибо за статью,много полезного и интересного, сам стараюсь везде 2фа подключать,от греха подальше, правда риск потом просрать все тоже остается,если устройство похерится, но на это меньше шансов чем,что у тебя уведут пароли,ключи

X-Block.io
somebodyhelpme
Newbie
*
Offline Offline

Activity: 126
Merit: 0


View Profile
April 18, 2018, 01:41:39 PM
 #4

Решил свою проблемы симкой другой страны, отдельным смартфоном под 2-fa и чистой системой на виртуалке. Естественно номер, почты нигде больше не светятся.

Очень жаль не везде есть возможность по IP фильтрацию ставить с последующим предупреждением на почту в случае неудачного входа.
faust666
Sr. Member
****
Offline Offline

Activity: 672
Merit: 252



View Profile
April 18, 2018, 01:51:47 PM
 #5

Спасибо за статью, весьма интересная, но как говорится, на любой замок - есть свой ключ, если Вас уже надумали взломать, то никакая защита не поможет.


       ▄███████████▄
     ████''     '`████
  ██▀                 ▀██
 ██'       o███o       `██
██P       d█████b       Y██
██' ,▄▄▄▄. █████ ,▄▄▄▄.  ██
██.,██████  ███  ██████. ██
██b`███████  '  ███████'d██
 ██. `▀▀▀▀▀     ▀▀▀▀▀  ,██
  ██▄                 ▄██
     ████._     _,████
       ▀███████████▀

LIVEN

pay

The WORLD FIRST GLOBAL
FOOD ECONOMY
- for Everyday
u s e   b y   E v e r y   d a y   P e o p l e
██ F O L L O W  U S ██
..TELEGRAM

..MEDIUM
GITHUB

TWITTER

ABOUT
US

We’re integrating cryptocurrency
into a product that works for real
people in cities and communities
around the world

▄▄▄██████▄▄▄
▄▄████████████████▄▄
▄█████▀▀        ▀▀█████▄
████▀                ▀████
███▀    ▄▄▄▄▄▄▄▄▄       ▀███
███      █   ▄▄ █▀▄        ███
██▀      █  ███ █  ▀▄      ▀██
███       █   ▀▀ ▀▀▀▀█       ███
███       █  ▄▄▄▄▄▄  █       ███
███       █  ▄▄▄▄▄▄  █       ███
██▄      █  ▄▄▄▄▄▄  █      ▄██
███      █          █      ███
███▄    ▀▀▀▀▀▀▀▀▀▀▀▀    ▄███
████▄                ▄████
▀█████▄▄        ▄▄█████▀
▀▀████████████████▀▀
▀▀▀██████▀▀▀

..GET the
APP

████
██████
█████████
█████████████
████████████████
████████████████████
████████████████████████
████████████████████████
████████████g█████████
██████████g███████
████████g██████
██████g██████
██████████
██████
███

                 ████
                ████
                ▀▀
     ,▄▄▄▄▄▄      ▄▄▄▄▄▄_
   o█████████▄██▄████████
  █████████████████████
 d████████████████████
,████████████████████
`████████████████████
 █████████████████████
 ██████████████████████
  █████████████████████████
   ███████████████████████
    █████████████████████
     `█████▀▀  ▀▀██████

Apply for
the LVN Token Sale
Presale Now
filip039
Newbie
*
Offline Offline

Activity: 21
Merit: 0


View Profile
April 18, 2018, 02:08:07 PM
 #6

вопрос только времени когда вы допустите ошибку, перейдете на какой то фишинговый сайт к примеру и тд.
huanglui
Sr. Member
****
Offline Offline

Activity: 531
Merit: 250



View Profile
April 18, 2018, 02:13:55 PM
 #7

Вопрос к автору топика: если двухфакторная аутентификация стоит не через SMS, а через QR-код, то какие угрозы существуют помимо кражи или потери самого QR-кода? Спасибо.


▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄
Telegram Twitter Facebook
▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀
       
              ▄██████████▄          
            ████████████████         
          ████████████████████       
         ████████▀    ▀████████  
        ███████          ███████     
        ██████            ██████     
        ██████            ██████     
        ███████          ███████     
         ████████▄    ▄████████      
          ████████████████████       
            ████████████████         
              ▀██████████▀            
       
              ▄██████████▄          
            ████████████████         
          ████████████████████       
         ████████▀    ▀████████  
        ███████          ███████     
        ██████            ██████     
        ██████            ██████     
        ███████          ███████     
         ████████▄    ▄████████      
          ████████████████████       
            ████████████████         
              ▀██████████▀            

▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄
Linked-In Reddit Medium
▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀▄▀
alexv10av
Member
**
Offline Offline

Activity: 504
Merit: 10


View Profile
April 18, 2018, 02:44:12 PM
 #8

Отличный пост, много новой и полезной информации услышал  для себя, надеюсь это поможет мне сохранить мои финансы в безопасности!
ilnick
Newbie
*
Offline Offline

Activity: 322
Merit: 0


View Profile
April 18, 2018, 02:49:45 PM
 #9

Присоединяюсь к благодарностям автору.
Мне конечно нечего пока защищать, но вот подумать о будущем имеет смысл. Об отдельном номере подумываю давно, но всё никак не сделаю этого. Это будет дополнительным толчком.
more^power
Full Member
***
Offline Offline

Activity: 462
Merit: 100


View Profile
April 18, 2018, 02:58:43 PM
 #10

Да уж.. Я свой аккаунт на гугл активирую через Леджер Нано С, с помощью приложения FIDO U2F - безопасно, стопудово! Плюсом гугл аутентификатор, тоже тема! А СМС это всё шляпа - итак давно понятно уж!
Barben
Sr. Member
****
Offline Offline

Activity: 616
Merit: 250


View Profile
April 18, 2018, 03:50:28 PM
 #11


Не думаю, что кто-то будет перехватывать ваши смс, когда есть более доступные методы с 90-х....
Но как выше было сказано главное не болтать), тогда и вероятность что на вас обратят внимание минимальная. Думаю хомякам с баунти можно не переживать.
Be light
Full Member
***
Offline Offline

Activity: 420
Merit: 101


In crypto we trust!


View Profile
April 18, 2018, 03:53:01 PM
 #12

Отличная копипаста, где то читат ее ранее, вива безопасность.

DeepOnion    ▬▬  Anonymous and Untraceable  ▬▬    ENJOY YOUR PRIVACY  •  JOIN DEEPONION
▐▐▐▐▐▐▐▐   ANN  Whitepaper  Facebook  Twitter  Telegram  Discord    ▌▌▌▌▌▌▌▌
Get $ONION  (✔Cryptopia  ✔KuCoin)  |  VoteCentral  Register NOW!  |  Download DeepOnion
Be light
Full Member
***
Offline Offline

Activity: 420
Merit: 101


In crypto we trust!


View Profile
April 18, 2018, 03:57:08 PM
 #13

Отличная копипаста, где то читал ее ранее, вива безопасность.

DeepOnion    ▬▬  Anonymous and Untraceable  ▬▬    ENJOY YOUR PRIVACY  •  JOIN DEEPONION
▐▐▐▐▐▐▐▐   ANN  Whitepaper  Facebook  Twitter  Telegram  Discord    ▌▌▌▌▌▌▌▌
Get $ONION  (✔Cryptopia  ✔KuCoin)  |  VoteCentral  Register NOW!  |  Download DeepOnion
kriptoserg
Newbie
*
Offline Offline

Activity: 210
Merit: 0


View Profile
April 18, 2018, 03:58:44 PM
 #14

Статья интересная и познавательная. Я сам не пользуюсь аутентификацией через СМС. Использую программу гугл аутентификатор. Возможно его тоже как-нибудь научились перехватывать злоумышленники - не знаю, но думаю что это надежней чем СМС. Безопасность конечно нужно соблюдать, хотя бы по минимуму, и такая информация очень полезна.
cr1ptoman
Member
**
Offline Offline

Activity: 210
Merit: 10


View Profile
April 18, 2018, 04:32:02 PM
 #15

Спасибо за статью, весьма интересная, но как говорится, на любой замок - есть свой ключ, если Вас уже надумали взломать, то никакая защита не поможет.

ну Вы и мастак на пословицы Grin я тоже одну такую слышал : Вопрос - "Один в поле ни кто?  ответ  Ни кто " Извините , не смог удержаться Grin А по статье , я с Вами согласен , статья нужная  и интересная спасибо автору. И не наговаривайте на себя, всё Вы нормально расписали. Так же хотел добавить, что если оппонента язык как помело, то никакая безопасность не спасёт. Помните летом был случай в Тайланде : у двух туристов в забрали всю крипту которая у них была. Муж и жена , где-то трепанулись , вечером в номер пришли "" пионеры"" и угрожая жизни одному вытребовали все пароли кошельков. было похищено со слов потерпевших крипты на 50 косарей . Отдохнули блин.
mrPix
Member
**
Offline Offline

Activity: 308
Merit: 29


View Profile
April 18, 2018, 04:57:00 PM
 #16

Отличная копипаста, где то читал ее ранее, вива безопасность.


Вероятнее всего в указанном источнике)
Burovik99
Hero Member
*****
Online Online

Activity: 924
Merit: 500


View Profile
April 18, 2018, 07:56:03 PM
 #17

Довольно интересно изложено, хотя все в том или ином виде читал ранее. ТС, спасибо за компиляцию  Smiley Хотя, если честно, практически все советы по безопасности, изложенные в статье можно ограничить, можно ограничить фразой из первого абзаца - "Не трепись" Smiley. Потому как слабо я представляю себе организацию например поддельной базовой станции для изъятия биточков у жирненького  хомяка  Grin Придут, проведут терморектальный криптоанализ и сам отдаст все подчистую.
Egorka121275
Jr. Member
*
Offline Offline

Activity: 560
Merit: 1


View Profile
April 18, 2018, 08:00:32 PM
 #18

 Большое спасибо за полезную информацию Будем знать. Предупрежден-значит вооружен!

DRIFE ●●
█ NEXGEN DECENTRALIZED RIDE HAILING PLATFORM █
●●● 
Dr_Nefario
Member
**
Offline Offline

Activity: 476
Merit: 10


View Profile
April 18, 2018, 08:04:23 PM
 #19

Советы очень полезные. А по поводу 2фа, то я записываю в блокнотик ручкой коды, на случай потери мобильного устройства, уже больше шансов все восстановить.

───          iAM               Instant Access Medical             ───            Token Sale Starts Oct 25th          ───
   The Point of Consensus, At The Confluence of The Consumer, Healthcare, Insurance And The Internet of Things  
───          Announce          Telegram          Twitter        Facebook          Youtube        Reddit          LinkedIn          ───
MilanaPay
Member
**
Offline Offline

Activity: 196
Merit: 10

The Premier Digital Asset Management Ecosystem


View Profile
April 18, 2018, 08:06:05 PM
 #20

Что может быть опасного в двухфактороной аутентификации? Наоборот она самая безопасная и жалко что ее нет у таких кошельков например как MyEtherWallet. Она бы спасла от фишинга и подобных взломов!

Pages: [1] 2 3 4 »  All
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!