Впасть в коммутатор: хакеры готовят мощную атаку на счета россиян в мае
Специалисты по кибербезопасности предупредили о подготовке массированной атаки на счета россиян в период майских праздников. Ожидается, что хакеры воспользуются уязвимостью мобильной связи, которая позволит перехватить SMS для авторизации в банковских приложениях — в даркнете был продан доступ к коммутатору одного из сотовых операторов. Об этом «Известиям» рассказали в DeviceLock, риск такой атаки подтвердили и в других компаниях, специализирующихся на киберзащите. Впрочем, для опустошения счетов мошенникам недостаточно кодов из SMS — им нужно иметь логины и пароли от личных кабинетов, заверили в кредитных организациях.
Кодовый захват
В начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи (его название и страна действия не уточнялись). Подключение к нему позволяет перехватить контроль над системой сигнализации SS7, управляющей трафиком операторов мобильной связи. Об этом «Известиям» рассказали в компании DeviceLock, которая занимается борьбой с утечками данных. Доступ продавался за $30 тыс. в биткоинах. С его помощью мошенники смогут перехватывать звонки и SMS всех операторов, с которыми у владельца коммутатора есть соглашение о роуминге.
Уязвимый оператор с большой вероятностью имеет договор о сотрудничестве (фактически — о роуминге) с одним или несколькими российскими провайдерами сотовых услуг, пояснила гендиректор «Смарт Лайн Инк» — производителя систем DeviceLock Олеся Ярмоленко. По ее словам, поскольку сегодня люди много путешествуют, практически у каждого оператора мобильной связи есть как минимум одно такое соглашение с провайдером любой страны.
По данным DeviceLock, в начале апреля доступ к коммутатору с большой вероятностью попал к покупателю из стран СНГ. Именно русскоговорящие злоумышленники, специализирующиеся на атаках на онлайн-счета, проявляли наибольший интерес к этому предложению, подчеркнула Олеся Ярмоленко. Она отметила, что благодаря активному распространению онлайн-банкинга и относительно высоким остаткам на счетах Россия всегда была наиболее желанной целью для интернет-мошенников на всем постсоветском пространстве.
— Атаки на систему сигнализации SS7 используются в первую очередь для перехвата авторизационных SMS-сообщений кредитных организаций, почтовых сервисов, а также различных электронных кошельков. С их помощью злоумышленники затем могут войти в личный кабинет банка и воспользоваться деньгами потенциальной жертвы, — пояснила эксперт.
По ее предположениям, атаке могут подвергнуться несколько сотен владельцев счетов с наибольшими остатками и подключенным онлайн-банкингом, данные о которых уже собраны или будут получены путем «пробива» клиентов. Поскольку на подготовку нападения такого типа злоумышленникам обычно нужно от двух недель до месяца, оно может быть приурочено к майским праздникам, когда большинство россиян ослабят контроль над своими счетами и другими финансовыми активами, ожидает специалист.
В «Лаборатории Касперского», а также в BI.ZONE (входит в экосистему «Сбера») известно о продаже доступа к коммутатору сотового оператора в даркнете. По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, вполне вероятно, что с помощью уязвимости у преступников появится доступ к каналам российских операторов, поскольку для обеспечения коммуникации за границей провайдерам связи необходимо сотрудничать с локальными игроками.
Стандарт SS7 используется в сетях 2g/3g, и когда он разрабатывался, безопасность не ставилась во главу угла, отметили в IT-компании КРОК, добавив, что операторы обязаны обеспечивать совместимость с сетями второго и третьего поколения, поэтому SS7 остается частью используемых систем.
Переход на push
По сведениям Digital Security, вполне вероятно, что мошенники нацелились именно на российских граждан. В сентябре прошлого года фиксировались подобные нападения (с перехватом SMS для авторизации) на пользователей Telegram, знает аудитор информационной безопасности компании Илья Булатов. Ему также известно об атаках на банки в Германии в 2017 году и на Metro Bank в Великобритании в 2019-м.
— Злоумышленники обходили двухфакторную идентификацию и получали доступ к аккаунтам жертв, после чего опустошали счета. В целом атаки на SS7 могут привести к компрометации аккаунтов в сервисах, на которых используется только авторизация по коду из SMS, а также для обхода второго фактора подтверждения в случае, если злоумышленник обладает паролем от аккаунта жертвы. Это могут быть банки, мессенджеры и соцсети, — рассказал Илья Булатов.
Он добавил, что для простейшей атаки злоумышленникам необходимо знать данные карты жертвы, которые периодически попадают в утечки сведений из интернет-магазинов или кредитных организаций.
Риски подобных атак на россиян «Известиям» подтвердили специалисты «Лаборатории Касперского», Positive Technologies, «Инфосистем Джет» и BI.ZONE. Эксперты пояснили, что организация такого преступления дорогостоящая и трудозатратная, поэтому оно имеет смысл только в крупных масштабах. При этом всплеск активности достаточно быстро будет замечен антифрод-системами банков, и злоумышленники будут вынуждены прекратить свою деятельность, отметили в BI.ZONE.
Возможно, мошенники проведут не единую массовую атаку, а будут действовать аккуратнее, получая доступ к десяткам (менее вероятно — сотням) счетов в день, предположил руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. Он пояснил, что такая активность будет мало заметна и, значит, позволит им оставаться в Сети гораздо дольше.
В отличие от социальной инженерии, защита от атак через перехват SMS полностью лежит на сотовых операторах, заявил руководитель департамента аудита информационной безопасности Infosecurity a Softline company Сергей Ненахов. Он рассказал, что клиентам следует переключить двухфакторную защиту критических сервисов на push-уведомления вместо SMS. Также можно использовать специальные приложения-аутентификаторы, генерирующие одноразовые коды непосредственно на самом устройстве.
Пользователю к тому же следует установить лимиты на переводы и запрет операций за рубежом, добавили в компании «СёрчИнформ».
В ВТБ известно о рисках атаки на граждан через перехват сообщений, но принятый в банке комплекс технических мер не позволяет злоумышленникам использовать технологию для получения доступа к средствам клиентов, заверили в кредитной организации. Для входа в интернет-банк недостаточно кода подтверждения, отправленного в виде SMS: требуется знать еще логин и пароль от интернет-банка, подчеркнули в ПСБ и УБРиР.
Представители сотовых операторов не ответили на запросы «Известий» о рисках атаки через стандарт SS7. «Известия» направили запросы в ЦБ, Минцифры и Роскомнадзор.
