Хакеры обнаружили, что один из центральных элементов онлайн-безопасности – номер мобильного телефона – проще всего поддаётся взлому. Об этом пишет NYTimes.com.
Растёт число атак, для осуществления которых хакеры звонят в Verizon, T-Mobile U.S., Sprint и AT&T и просят передать контроль над номером телефона жертвы на устройство хакеров. Как только они получают доступ к номеру телефона, они могут сбросить пароль в любом сервисе, который использует номер телефона для восстановления пароля, включая аккаунты в Google, Twitter и Facebook.
«Мой iPad перезагрузился, мой телефон перезагрузился и мой компьютер перезагрузился. Я покрылся холодным потом и подумал: «Ага, плохи дела», – говорит криптовалютный инвестор Крис Бурниск, номер мобильного телефона которого был взломан в конце прошлого года.
Большое число пользователей, использовавших номер мобильного телефона в качестве опции для восстановления пароля, стали жертвами этой атаки, включая активиста Black Lives Matter и главного технического специалиста Федеральной торговой комиссии США. Согласно информации самой Комиссии, число так называемых «угонов номеров» быстро растёт. В январе 2013 было зафиксировано 1038 подобных случаев, а к в январю 2016 это значение выросло до 2658.
Больше всех от этих атак страдают пользователи виртуальных валют, такие как Бурниск. За несколько минут хакеры смогли поменять пароль на кошельке Бурниска и вывести с него $150.000.
Многие жертвы атак не торопятся публично рассказывать о произошедшем, не желая давать повод для радости своим противникам. Тем не менее, в интервью десятки известных в индустрии личностей признают, что они стали жертвами атаки в последние месяцы.
«Все, кого я знаю в криптовалютном пространстве, становились жертвами хакеров, ворующих номера мобильных телефонов», – говорит Джоби Викс, биткоин-предприниматель. В прошлом году Викс потерял доступ к номеру своего мобильного телефона, а вместе с этим и миллион долларов в криптовалюте, несмотря на то, что обращался к оператору мобильной связи с просьбой усилить меры безопасности по защите его номера, после того как были украдены номера его жены и родителей.
Хакеры собирают информацию о пользователях, которые пишут в социальных сетях о том, что хранят криптовалюту либо собираются инвестировать в криптовалютные компании.
Как известно, транзакции виртуальных валют необратимы. Брокерские и банковские счета не так привлекательны для хакеров, поскольку обычно эти организации могут возвращать случайные или мошеннические транзакции, если информация о них поступает в течение нескольких дней после осуществления транзакции.
Помимо криптовалют хакеры интересуются любыми ценными email-адресами и цифровыми файлами. В поле их зрения попадают политики, активисты и журналисты. В прошлом году хакеры получили доступ к аккаунту лидера движения Black Lives Matters Дерей Маккессона в Twitter при помощи номера мобильного телефона.
Как показывает практика, жертвами атаки становятся даже технически подкованные пользователи. Эксперты в сфере кибербезопасности говорят, что число подобных инцидентов будет расти, если операторы мобильной связи не пересмотрят свои процедуры для передачи доступа к номерам мобильных телефонов.
«Нам приходится сталкиваться с уязвимостью метода восстановления пароля при помощи мобильного телефона», – говорит Майкл Перклин, главный эксперт по безопасности криптовалютной биржи ShapeShift, сотрудники и клиенты которой неоднократно становились жертвами хакеров.
Операторы мобильной связи заявляют, что они делают всё возможное для предотвращения подобных атак, включая создание сложных номеров для идентификации личности пользователя или PIN-кодов и другие методы. Однако, как показывает практика, этих мер недостаточно для того, чтобы остановить преступников.
Первая волна атак на криптовалютные кошельки со взломом номеров мобильных телефонов прокатилась прошлой зимой, о чём писал Forbes. Перклин и другие эксперты в сфере кибербезопасности утверждают, что с тех пор число подобных случаев увеличилось.
В последних эпизодах хакеры получали доступ к номерам телефонов, когда жертвы знали, что на их кошельки осуществляется атака, и предупреждали об этом операторов мобильной связи.
Эдам Покорницкий, управляющий партнёр Cryptochain Capital, обратился в Verizon с просьбой усилить контроль за его номером телефона, после того как узнал, что злоумышленник 13 раз звонил в компанию с требованием перенести номер на новый телефон. Однако, через несколько дней после этого хакер убедил очередного оператора Verizon, который даже не запросил PIN-код, поменять номер.
Пресс-секретарь Verizon Ричард Янг заявил, что компания не комментирует отдельные случаи, но сообщил, что перенос номеров телефонов происходит не часто.
Перклин, который до ShapeShift работал в канадской компании, выполняющей функции оператора мобильной связи, говорит, что в большинстве случае компании записывают все запросы, касающиеся усиления мер безопасности, вместе с информацией о клиенте. Однако, операторы часто сами принимают решения и игнорируют сопутствующие записи.
Эта уязвимость стала следствием введения новых способов зашиты аккаунтов пользователей, включая двухфакторную аутентификацию. Многие email-провайдеры и финансовые компании требуют указать номер мобильного телефона во время регистрации аккаунта для подтверждения личности клиента. В то же время они позволяют использовать этот номер мобильного телефона для сброса пароля. Хакер кликает на ссылку «Забыли пароль?» и получает новый пароль на мобильный телефон.
Покорницкий был в сети, когда хакер взломал его аккаунт, и видел своими глазами, как тот вывел все его деньги за считанные минуты.
«Было ощущение, что они всегда опережают меня на шаг», – говорит он.
Обычно такие атаки занимают несколько минут, из чего эксперты делают вывод, что участие в них принимает группа хакеров, каждый участник которой выполняет собственную роль.
Перклин и другие жертвы атак сообщают, что хакеры придумывали душераздирающие истории, убеждая операторов в необходимости переноса номера на новый телефон. Они звонят в службу поддержки несколько раз и в конце концов находят оператора, который готов помочь им.
«Эти парни позвонят 600 раз, но найдут агента, который будет конченым идиотом», – говорит Викс.
Один из крупнейших биткоин-кошельков Coinbase обратился к своим клиентам с просьбой отключить привязку мобильных телефонов к своим аккаунтам. Однако, некоторые пользователи, потерявшие деньги, считают, что этих мер недостаточно. Например, они предлагают ввести период заморозки для аккаунтов, пароль которых был изменён.
«Coinbase – это банк. Он хранит миллионы долларов, но вы даже представить себе не можете, как несущественны его меры безопасности, пока ваши деньги не будут украдены. Тысячи долларов за считанные минуты», – говорит Коди Браун, разработчик, пострадавший от хакеров в мае.
Браун написал ставший популярным пост, в котором он рассказал о том, как потерял $8000 на Coinbase. Во время атаки он сидел перед компьютером и наблюдал за действиями хакеров, не получая ответа ни от Coinbase, ни от Verizon.
Пресс-секретарь Coinbase заявил, что компания «выделила значительные ресурсы на разработку внутренних инструментов, которые призваны защитить клиентов от хакеров, включая кражу номеров мобильных телефонов».
Необратимость биткоин-транзакций часто рассматривается как важное преимущество криптовалюты. Однако, Покорницкий считает, что компании, работающие в этой сфере, должны предупреждать своих клиентов о дополнительных рисках новой технологии. «Возможность осуществления самостоятельного контроля за деньгами и переводов без участия третьих лиц представляется важным преимуществом. Однако, необходимо осознавать, что у этой медали есть и обратная сторона», – говорит он.
