Это была самая дорогая ошибка в моей жизни: об атаке с использованием переноса SIM-карты

101

В прошлую среду я потерял сумму более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты» вычистившей мой счёт на бирже Coinbase. Прошло четыре дня с тех пор, и я чувствую себя опустошённым. У меня пропал аппетит; я лишился сна; я полон чувства тревоги и стыда.

Я получил самый дорогой урок в моей жизни, и я хочу поделиться своим опытом с максимально большой аудиторией. Моя цель — информировать людей о таких типах атак и мотивировать вас усилить вашу безопасность в сети интернет.

Это пока мои предварительные выводы (я даже не рассказал о происшедшем своей 

Подробности атаки

Возможно, вы спросите: «А что это вообще такое, атака на порт SIM-карты?»

Чтобы описать атаку, для начала давайте рассмотрим типичную онлайн-личность представленную на диаграмме:

У многих из вас, как и у меня, есть основной email-адрес, который соединён с множеством онлайн-аккаунтов других сервисов. У многих, также есть мобильное устройство, которое часто используется для восстановления забытого пароля от email.

Авторизированный перенос SIM-карты

Авторизированный перенос SIM-карты — это одна из услуг, предлагаемых операторами мобильной связи — возможность перенести (портировать) SIM-карту, например, когда мы меняем оператора мобильной связи, процесс абсолютно легальный.

Примечание: Очевидно, здесь речь идет о изготовлении дубликата SIM-карты. Дубликаты SIM-карт выдаются клиентам оператором по предъявлению паспорта, например, в случае утраты телефона с SIM-картой.

Атака с переносом SIM-карты

Однако, «атака с переносом SIM-карты» — это перенос, произведённый из неавторизированного источника — атакующим. Атакующий портирует вашу SIM-карту на подконтрольное ему устройство. Затем атакующий инициирует процесс сброса пароля на email-аккаунте. Код подтверждения приходит на ваш номер телефона и перехватывается атакующим, так как он теперь контролирует вашу SIM-карту. Дто показано на диаграмме ниже:


Как только атакующий получает доступ к вашему email-адресу, он переходит от одного сервиса с которым вы используете этот email-адрес (банки, социальные сети и т. д.) к другому. Он также может закрыть вам доступ к вашим собственным аккаунтам и запросить за возвращение доступа плату.

Представьте на минуту тот объём личной информации, который привязанной к одному лишь аккаунту Google! Под угрозой могут оказаться:

  • ваш адрес, дата рождения и другие персональная данные, позволяющие вас идентифицировать;
  • злоумышленники могут получить доступ к потенциально компрометирующим вы используете этот email-адрес (банки, социальные сети и т. д.) фотографиям;
  • доступ к запланированным календарным событиям и датам отпуска;
  • доступ к личной переписке, документам и поисковым запросам;
  • доступ к вашим личным контактам и их персональным данным, информация об  их отношение к вам;
  • доступ ко всем онлайн-сервисам, где при регистрации был указан ваш основной адрес электронной почты.

Как все происходило?

Чтобы лучше понять весь размах атаки, давайте рассмотрим эту атаку во временной последовательности. Я покажу, как атака производилось, чем я занимался и что я чувствовал в это время и что можно сделать, чтобы защитить себя в случае появления подобных признаков.

Мое описание я поделил на четыре части:

  • Что я испытывал: как происходили события с моей точки зрения — если вы испытываете что-то подобное, то вы, скорее всего, подвергаетесь атаке.
  • Что делал атакующий: тактики, которые использовал атакующий, чтобы получить доступ к моему аккаунту Coinbase.
  • Ощущаемый уровень угрозы: значение, которое я придавал происходящим событиям.
  • Реальный уровень угрозы: значение, которое я должен был придавать событиям.

Усвоенный урок и рекомендации

Это был самый дорогой урок в моей жизни. Я потерял значимую долю своего капитала за 24 часа; безвозвратно. Вот несколько советов, которые должны помочь другим лучше защитить себя:

  • Используйте физический кошелёк для криптовалюты: перенесите ваши запасы крипты на физический кошелёк или в оффлайн-хранилище или в кошелёк с несколькими подписями всегда, когда вы не выполняете транзакций на бирже. Не оставляйте средства на биржах. Я воспринимал Coinbase как банковский счёт, но, этой атаки, у вас не будет никакого выхода. Я знал об этих рисках, но я никогда не думал, о том, что что-то подобное может произойти со мной. Я очень сожалею, что не предпринял более серьёзных мер по обеспечению безопасности моей криптовалюты.
  • Двухфакторная аутентификация на основе SMS является недостаточной: вне зависимости от того, что вы хотите защитить в сети, используйте аппаратную защиту (например, что-то физическое, что атакующему придётся заполучить, чтобы осуществить атаку). В то время, как Google Authenticatorили Authy могут превратить ваш телефон в подобие аппаратной защиты, я бы порекомендовал пойти дальше. Приобретите YubiKey, который вы контролируете физически и который не может быть подменён.
  • Сократите ваш онлайн-след: преодолейте стремление без необходимости делиться личной информацией, которая позволяет вас идентифицировать (дата рождения, местонахождение, фотографии с геоданными и т. д.). Все эти данные в публичном доступе могут сыграть с вами в будущем злую шутку в случае атаки.
  • Google Voice 2FA: в некоторых случаях этот сервис может не поддерживать аппаратную двухфакторную аутентификацию, используя на более слабые SMS-сообщения. Хорошая идея создать виртуальный номер телефона в Google Voice (который не может быть портирован) и использовать его в качестве номера для двухфакторной аутентификации. (примечание: данный способ работает только в США)
  • Создайте несколько email-адресов: не привязывайте все сервисы к одному адресу, создайте несколько email-адресов для критически важных аккаунтов (банки, социальные сети, биржи…) Не используйте этот адрес ни для чего другого и держите его в секрете. Не забудьте защитить этот адрес любой формой двухфакторной аутентификации.
  • Используйте оффлайн-менеджер паролей: пользуйтесь менеджером паролей. А лучше — используйте оффлайн-менеджер паролей, вроде Password Store.

О комментариях читателей…

Учитывая мой опыт по защите устройств, я, наверное, заслуживаю быть взломанным — я понимаю это. Но мне от этого не легче, а смысл истории заключается в том, чтобы:

  • дать другим понять, насколько легко подвергнуться атаке;
  • использовать полученные знания и рекомендации, чтобы безопасность вашей онлайн-личности возвести в наивысший приоритет.

Я не могу перестать думать о простых вещах, которые я мог бы сделать, чтобы защитить себя. Моя голова забита мыслями о том, «а что если бы…».

Однако, эти мысли перечеркнуты двумя пересекающимися чувствами или качествами — ленью и предвзятость в отношении оценки своей неуязвимости. Я никогда не воспринимал свою онлайн-безопасность всерьёз, потому что я никогда не подвергался атаке. Хоть я и понимал свои риски, я был слишком ленив, чтобы защитить свои активы с должной строгостью.

Я призываю вас учиться на моих ошибках и не делать своих.

Перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack»

Читайте также