Многофакторная аутентификация на основе SMS: что может пойти не так?

Многофакторная аутентификация на основе SMS: что может пойти не так?

Новости

В Black Hat исследовательский дуэт из FYEO демонстрирует метод, который они называют smishmash, чтобы доказать, что использование текстовых сообщений для вашего второго фактора очень рискованно.

Многофакторная аутентификация сегодня в моде. Все веб-сайты просят вас включить его, и на то есть веские причины. Когда утечка данных раскрывает тот факт, что ваш пароль — «пароль», злоумышленники все равно не смогут получить доступ к вашей учетной записи, потому что у них нет другого фактора аутентификации. Обычно это код, отправленный на ваш телефон в текстовом сообщении или через приложение для проверки подлинности.

Эти два метода кажутся похожими, но первый оказывается большим риском для безопасности. В увлекательной презентации команды тегов на Black Hat Томас Олофссон и Микаэль Быстрём, технический директор и глава OSINT в FYEO, соответственно, продемонстрировали метод, который они называют smishmash, чтобы доказать, что использование текстовых сообщений для вашего второго фактора очень рискованно.

Что такое ФЕО? Что такое ОСИНТ? Что Смишинг?

Согласно его веб-сайту, FYEO — это «Кибербезопасность для Web 3.0 «, что означает, что он продвигает децентрализованный Интернет, а также децентрализованные финансы и безопасность. FYEO также используется некоторыми для обозначения «Только для ваших глаз» — оттенки Джеймса Бонда!

Что касается OSINT, то это сокращение от разведки из открытых источников, и этот термин широко использовался в Black Hat. Это означает сбор и анализ общедоступной информации для получения полезной информации. Удивительно, к чему может прийти целеустремленный исследователь, основываясь на информации, которая никоим образом не скрыта.

Вы слышали о фишинге — методе, при котором хитрые мошенники обманом заставляют вас войти в копию сайта банка или другого защищенного сайта, тем самым похищая ваши учетные данные для входа. Фишинговые ссылки, как правило, приходят по электронной почте, но иногда перевозчиком являются SMS-сообщения. В этом случае мы используем прекрасный термин smishing.

Почему тексты небезопасны?

«Мы называем это smishmash, потому что это смесь техник, — объясняет Олофссон. «SMS для двухфакторной аутентификации [2FA] не работает. Это не новость; он был сломан с самого начала. Он никогда не предназначался для такого использования. Мы подделываем текстовые сообщения с тех пор, как занимаемся взломом. Просто сейчас мы видим вооружение».

Он отмечает, что текстовые сообщения имеют более высокий уровень скрытого доверия, чем мошенничество по электронной почте, и, следовательно, более высокий уровень успеха. Олофссон проанализировал несколько заслуживающих внимания нарушений, связанных со смишингом и 2FA, в том числе крупную кражу NFT из OpenSea. «Мы видим огромный рост числа смишинг-атак», — говорит он. «Сколько из вас получили нежелательное сообщение за последнюю неделю? Твои телефонные номера все чаще утекают».

«Что мы сделали, так это объединили поиск в чистой сети и даркнете, чтобы создать огромную базу данных», — говорит Быстрём.

«Проводя это исследование, мы получили так много спама», — добавляет Олофссон. «Даже „вы хотите купить список участников Black Hat?“ Мы снизили цену ниже 100 долларов».

«Раньше утекшие учетные данные представляли собой имя пользователя и пароль, — говорит Олофссон. «Теперь, если у вас есть имя пользователя, взломанный пароль и номер телефона, у вас есть очень хорошие шансы пройти двухфакторную аутентификацию. У нас есть база данных из 500 миллионов телефонных номеров, поэтому мы можем связать каждый пятый адрес электронной почты с номером телефона».

Как работает взлом 2FA?

«Самый распространенный способ обмануть 2FA — инициировать сброс пароля, а затем обмануть устройство», — объясняет Олофссон. «Мы рассмотрели шесть реальных атак, три из которых связаны с восстановлением учетной записи. В целом процесс восстановления учетной записи очень слабый».

SMS были разработаны в 80-х годах, а первое текстовое сообщение было отправлено в 1992 году. «Они никогда не предназначались для обеспечения безопасности. Нет ни контрольной суммы, ни проверки отправителя, ничего. И есть несколько способов отправлять сообщения, — говорит он. — Вручную с телефона, да. Отправьте его через модем со старого телефона. Или воспользуйтесь сервисом API».

Именно этот спуфинг продемонстрировал дуэт на Black Hat. Впоследствии Олофссон указал, что вы можете просто купить технологию для выполнения этих атак. «За 160 долларов вы можете купить специальное оборудование у Alibaba, чтобы сделать это», — говорит он, показывая страницу с сайта. «Даже те, которые могут обрабатывать 64 атаки одновременно. Они могут подделать IMEI, подделать отправителя SMS. Это своего рода общеизвестный секрет — они на самом деле их продают».

Команда рассмотрела некоторые технические методы и службы, которые организации могли бы использовать для защиты от этой атаки, хотя ясно, что лучшее решение — просто не полагаться на SMS. Они также предложили всю базу данных с хешированными и нечитаемыми паролями участникам Black Hat, чтобы любой мог проверить, не раскрыт ли их номер телефона. Полностью аккредитованные исследователи безопасности могут договориться о доступе к полной нехешированной версии.

Урок ясен. Для любого сайта, который дает вам выбор, не выбирайте аутентификацию на основе SMS. Если это важная учетная запись, которая не предлагает никакого другого выбора, скажем, вашего банка, свяжитесь с организацией и попросите их сделать лучше.

Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая пользоваться сайтом, вы даете согласие на использование файлов cookie.