SMS-пароли для банковских клиентов. Казнить нельзя помиловать
Последний раз автор настоящей статьи обращался к вопросу о необходимости снизить зависимость российских банков от одноразовых паролей, основанных на использовании механизма SMS (SMS OTP), еще несколько лет назад. Вышедшая в журнале ПЛАС № 4 за 2017 год статья «Безопасное использование небезопасного SMS-канала» призывала банки к альтернативным механизмам аутентификации розничных клиентов и финансовых транзакций с учетом рисков, создаваемых использованием технологии SMS OTP.
Прошедшие шесть лет показали, что, как и следовало ожидать, сравнительно низкие капитальные затраты на создание вышеупомянутого механизма и отсутствие необходимости для клиента использовать какие-либо дополнительные устройства (кроме имеющегося мобильного телефона — как продвинутого смартфона, так и простейшего кнопочного) сделали SMS-пароли одним из самых широко распространенных способов многофакторной аутентификации.
Заметим, что разрабатываемые российскими банками мобильные приложения уже избавились от SMS-паролей. Тем не менее даже в крупных банках до сих пор имеются решения, где SMS-механизм позволяет не только получать информацию о проведенных операциях и кодах подтверждения операций, но и инициировать финансовые транзакции.
Совсем недавно стали в обязательном порядке применять двухфакторную аутентификацию и пользователи госуслуг (а это около 70 млн клиентов), при этом основным ее механизмом стал одноразовый пароль, передаваемый по SMS-каналу. Столь масштабная инициатива поневоле вызывает закономерные вопросы:
- Кто будет платить за SMS-трафик?
- Насколько безопасен механизм SMS OTP?
Оставляя в стороне первый вопрос, попробуем ответить сразу на второй — «Как обстоят дела с безопасностью?». Увы, проблемы с безопасностью SMS-паролей имеются, и даже простое перечисление уязвимостей должно бы насторожить того, кто собирается использовать этот механизм. Даже далеко не самый подробный перечень содержит следующие механизмы атак:
- SIM Swap — общеизвестная атака с незаконной заменой SIM-карты.
- SIM recycling — отключение неактивного пользователя мобильного оператора с последующим выпуском новой SIM-карты с тем же мобильным номером для нового абонента.
- Программы-трояны для похищения одноразовых паролей.
- Социальная инженерия — здесь SMS-пароль и код подтверждения операции выступают самой желанной мечтой мошенника.
- Перехват SMS-паролей в процессе передачи SMS-сообщений на мобильное устройство пользователя:
- ложная базовая станция;
- использование уязвимостей протокола SS7.
Каждый из четырех первых пунктов заслуживает подробного обсуждения, поскольку они включают в себя различные опции, но в рамках настоящей статьи имеет смысл подробно рассмотреть пятый пункт, ибо именно он сопряжен с массой мифов, а также характеризуется отсутствием широкой информации о существующих уязвимостях.
Реален ли риск перехвата?
Итак, возможен ли перехват SMS-сообщений и голосового трафика в сети сотовой связи? Самый распространенный ответ: «Нет, радиоканал использует шифрование. Такое вмешательство возможно на уровне спецслужб государства, на применение таких решений необходимо получение разрешения от судебных органов и т. д. и т. п.» Увы, развитие технологий в настоящий момент таково, что организовать такое мероприятие по силам мало-мальски продвинутому хакеру, располагающему свободными средствами в сумме всего около… 600 долл. США.
В основе решения — оборудование, доступное на открытом рынке (так называемое Software Defined Radio). Программное обеспечение, позволяющее создать маломощную базовую станцию сотовой связи (любого поколения), имеется в интернете в виде свободно распространяемого ПО. Мы имеем атаку типа MITM (man-in-the-middle, «человек-посередине» или «атака посредника»), поскольку GSM-протокол автоматически заставляет мобильное устройство выбирать наиболее мощную и близкорасположенную станцию сотовой связи.
Можно возразить, что малая мощность такой «подпольной» базовой станции не позволяет проводить сколько-нибудь масштабные атаки и «овчинка выделки не стоит». Но даже маломощная станция в районе массового скопления (вокзал, торговый центр, жилой комплекс) создает определенные возможности для таких атак. Пример из прошлого: в 2012 году служба безопасности Мастер-Банка обратила внимание на фургон, который практически постоянно находился на небольшом удалении от банка (рядом с Павелецким вокзалом). После обращения в полицию удалось обнаружить в кузове фургона списанную базовую станцию, с помощью которой злоумышленники рассылали от имени попавших в радиус действия станции владельцев мобильных телефонов SMS на зарегистрированные ими же короткие платные номера.
В наши дни покупать базовую станцию и фургон нет необходимости. Так, например, в одном из случаев мошенники вмонтировали ложную базовую станцию в сетевой принтер, установленный в офисе ничего не подозревающей компании, — это позволило использовать блок питания принтера и подключение к сети интернет, упростив задачу атакующим.
Но гораздо более широкие возможности для мошенников предоставляет использование уязвимостей протокола сигналирования — SS7, который лежит в основе управления телефонной сетью, включая и мобильные сети. Заметим, разработка протокола началась в конце 1970-х годов, когда вопросы безопасности были явно не на первом месте, и не в последнюю очередь исходя из постулата, что доступ к протоколу якобы имеют только легальные операторы связи. Но тем не менее наличие SMS-агрегаторов, систем определения координат, локальных операторов связи и широкое распространение интернета вещей привели к появлению большого количества новых игроков на рынке связи. И сегодня на черном рынке за сумму от 150 до 2500 долл. можно получить доступ к сети операторов связи, что позволяет осуществить атаки даже при отсутствии собственной инфраструктуры.
В подтверждение этих положений немного статистики. По данным опроса, проведенного ENISA (European Union Agency for CyberSecurity), основная масса телеком-операторов в Европейском союзе в том или ином виде сталкивались с мошенничеством в процессе использования SMS-канала, что следует из приведенных диаграмм (см. рис. 1 и рис. 2).
Что делать?
Имеются ли решения, позволяющие защититься от угроз, возникающих при использовании SMS-паролей при оказании финансовых услуг? Несомненно, такие решения имеются — причем уже в виде готовых коммерческих продуктов, которые могут быть реализованы как на стороне телеком-операторов, так и на стороне поставщиков финансовых услуг.
Данная проблематика еще в 2019 году рассматривалась в Международном союзе электросвязи (International Telecommunication Union, ITU) рабочей группой, которая в результате анализа клубка возникающих взаимосвязей и противоречий пришла к следующим выводам:
- Одной из причин текущего положения дел с SMS-мошенничеством является отсутствие должного консенсуса в рамках экосистемы оказания финансовых услуг между операторами связи и финансовыми учреждениями.
- Финансовые учреждения, как правило, принимают на своей стороне меры по защите от атак на SMS-пароли, но основные угрозы могут и должны быть устранены в большинстве случаев на стороне операторов мобильной связи.
- Отсутствие взаимодействия приводит к ситуации, когда, несмотря на наличие решений, позволяющих заметно повысить защищенность сетей мобильных операторов, последние не проявляют заинтересованности в их применении, указывая на необходимость дополнительных инвестиций для внедрения таких технологий. Описание технологий защиты от уязвимостей протокола имеются на сайте GSMA — данная информация доступна для участников заинтересованных организации.
По мнению специалистов ITU, для решения проблемы необходимы скоординированные меры воздействия со стороны как финансовых регуляторов, так и регуляторов в области телекоммуникаций. В том числе:
- Необходимо регулярное взаимодействие операторов связи, поставщиков финансовых услуг, а также финансового и телекоммуникационного регулятора с целью доведения до всех участников цифровой финансовой экосистемы необходимости принятия мер для создания доверия между участниками экосистемы. Наличие такого доверия позволит в перспективе повысить и доверие клиентов к экосистеме.
- Регулятор телекоммуникационного рынка должен сформулировать набор требований к обеспечению безопасности систем связи и найти механизмы, стимулирующие операторов к внедрению технологий, реализующих заданные требования. В частности, необходимо обязать операторов сообщать регулятору обо всех инцидентах с безопасностью связи в своих компаниях.
- Аналогичные меры должны быть реализованы на стороне регулятора финансового рынка, с тем чтобы внедрение необходимых с точки зрения регулятора мер безопасности было подкреплено соответствующими мероприятиями, побуждающими финансовые учреждения выполнять предписанные меры.
Журнал «ПЛАС» продолжит рассматривать эту тему на своих страницах совместно с экспертами, следите за нашими публикациями!