Телеком-эксперт Роман Химич в своей статье для AIN.UA рассказывает, почему SMS-аутентификация для ключевых сервисов, таких как доступ к банковскому счету, — плохая идея, и чем можно заменить такую авторизацию.
На протяжении нескольких дней AIN.UA опубликовал подробности двух похожих историй о краже денег через уязвимости SMS-аутентификации финансовых сервисов. Характерные особенности этих и многих других нашумевших случаев вынуждают по-новому посмотреть на давно известную проблему.
Стоит, наконец, признать, что никакая саморегуляция и корпоративная социальная ответственность не заставит «пчел отказаться от меда». Только вмешательство регуляторов может заставить финансовые учреждения прекратить порочную практику использования негодных, зато дешевых (практически бесплатных!) инструментов.
Что случилось?
Киевлянка Анна Карачинская стала жертвой классической, эталонной атаки посредством кражи «финансового» номера мобильной связи. Пока она была за границей, вечером 8 мая злоумышленники перевыпустили на себя SIM-карту с ее номером. Используя штатную функцию восстановления пароля Gmail с помощью номера мобильной связи, они установили контроль над основным почтовым ящиком. Далее последовали мессенджеры и, самое главное, учетные записи в банковских системах самообслуживания.
Единственным банком, который оказался готов к такой атаке, оказался monobank. «ПроКредит Банк», «УкрСиббанк» и ПУМБ пали, предоставив злоумышленникам в общей сложности 285 000 грн (позднее в «УкрСиббанке» решили вернуть деньги Анне — ред.). В комментариях к Facebook-записи Карачинской отметилось около десятка человек, которые на протяжении последних недель стали жертвами аналогичных преступлений. Их злоключения описаны, например, здесь, здесь и здесь.
Оказавшись в критической ситуации, госпожа Карачинская обнаружила, что к ней не готовы ни оператор мобильной связи, ни банковские учреждения. Прошло несколько часов, прежде чем Vodafone заблокировал ворованную карту. При этом нормативный срок исполнения заявки на блокировку составляет один рабочий день. Учитывая, что 9 мая был выходным, фактически речь могла идти про двое суток.
Однако блокировка номера не помешала злоумышленникам снять и ее, причем даже без визита в сервис-центр. На помощь им пришла услуга удаленной замены SIM-карт. Эта услуга по умолчанию активирована для всех номеров предоплаченной связи, о чем госпожа Карачинская узнала только постфактум.
Нужно признать, что никакие усилия оператора по защите ее номера от «угона» не могли дать желаемый результат. Дело в том, что пострадавшая использовала номер предоплаченной связи, который даже не зарегистрировала на себя. В этой ситуации «угон» номера — всего лишь вопрос времени и квалификации злоумышленников.
Герой следующей публикации, американец Шон Кунс не имел даже такой эфемерной возможности защититься от угона финансового номера. Дело в том, что стандартная для американских операторов услуга Authorized SIM Porting, которой воспользовались плохие парни, не предполагает исключений. Обычно плохим парням достаточно заявиться в офис оператора и предоставить персональную информацию вроде даты рождения или номера социального страхования своей жертвы. Впрочем, вовсе не обязательно заморачиваться поиском подобной информации. Всегда есть возможность обойтись небольшой, до $100, суммой наличных денег.
В целом индустрия мобильной связи США демонстрирует поразительную, как для развитой страны, неспособность защитить своих абонентов. Кража номеров поставлена на поток и даже многомиллионные штрафы не могут повлиять на ситуацию.
Стоит отметить, что поведение господина Кунса не было безупречным. Практически сразу после угона номера он начал получать уведомления о подозрительной активности, но отложил выяснение причин на потом. Хотя криптобиржа Coinbase, где находились его средства, после замены пароля блокирует операции на 24 часа, такой форы оказалось недостаточно.
Завладев номером, на который был завязан Gmail-аккаунт пострадавшего, злоумышленники последовательно установили контроль сначала над почтой, а затем и личным кабинетом Coinbase. Итог — потеря $100 000.
Что Анна Карачинская, что Шон Кунс стали жертвами вполне тривиальной мошеннической схемы. Они допустили ряд таких же тривиальных ошибок. В этом плане их случаи весьма схожи. Даже размер ущерба практически идентичен.
А теперь важный нюанс: и Карачинская, и Кунс являются IT-специалистами, не понаслышке знакомыми с вопросами безопасности в этой сфере. И это вынуждает сделать вывод — корень проблемы вовсе не в ошибках пользователей, их глупости или лени.
Проблемой является сама практика использования номеров мобильной связи для аутентификации пользователей критически важных приложений.
Проблема крупным планом
Различие между идентификацией, аутентификацией и авторизацией поясняется здесь. В двух словах, аутентификация — это установление соответствия между человеком, которого ранее идентифицировали как пользователя (с визитом в отделение и предъявлением паспорта и т.п.), и неизвестным, который пытается воспользоваться банковским счетом через интернет. Если неизвестный в состоянии предоставить ту информацию, которую банк считает достаточной, его признают законным пользователем (т.е. аутентифицируют) и предоставляют возможность совершать действия, для которых ранее он был авторизован банком.
Кража пользовательских данных и денег через дыры аутентификации по номеру мобильного уже давно приняла масштабы эпидемии не только в Украине, но и за рубежом. В сети достаточно компетентных, профессиональных разборов этой проблемы, например вот здесь. Однако все эти материалы чересчур пространны и сосредоточены на технических нюансах.
Сформулируем обсуждаемую проблему так: «Почему украинские пользователи финансовых сервисов снова и снова теряют свои деньги из-за кражи их номеров мобильной связи?» Еще раз — речь будет идти об Украине, примеры из других стран будут упоминаться, но в качестве иллюстраций.
Внимательное изучение вопроса позволяет выявить несколько причин, которые сделали кражу денег с помощью перевыпуска SIM-карт таким легким и популярным делом.
Во-первых, даже профессионалы в области кибербезопасности (!) до сих пор воспринимают аутентификацию по номеру мобильного телефона как одну приемлемых опций двухфакторной аутентификации. Примеры этого здесь и здесь. Но это — грубая ошибка.
Что такое двухфакторная (иногда ее называют строгой) аутентификация? При использовании строгой аутентификации для проверки пользователя используется несколько факторов разной природы:
- Фактор знания — некая информация, недоступная окружающим: пароль, ответ на вопрос о девичьей кличке бабушки, серийный номер любимого ствола и т.п.
- Фактор владения — некий артефакт, которым обладает только пользователь: мобильное устройство, криптографический ключ и т.д.
- Фактор неотъемлемости — различные особенности пользователя как сложного биологического объекта: отпечатки пальцев, рисунок радужки глаз, голос и т. д.
Необходимость взломать — украсть или воспроизвести — несколько разных по своей природе факторов резко уменьшает вероятность успеха для злоумышленников. И вот здесь проявляет себя причина №1: номер мобильной связи попросту не годится как фактор строгой аутентификации.
Для начала эти номера не являются нашей собственностью, даже в случае контрактного подключения. SIM-карта, да, находится в нашем распоряжении (хотя тоже не является собственностью, кстати), мы имеем возможность физически ограничить доступ к ней. Однако SIM-карта не привязана навечно к нашему номеру. Оператор в любой момент может ассоциировать номер с другой SIM-картой, в чем и заключается услуга его восстановления.
Показательно, что этот значимый момент не улавливают даже профессионалы индустрии. Например, общепринятый в США термин SIM porting является неверным по сути, поскольку портируют (переносят) не SIM-карту, а номер. Имеет место подмена сущностей, что, с одной стороны, отражает кашу, которая царит в головах операторов, потребителей и регуляторов, а с другой стороны эту самую кашу провоцирует и поддерживает.
Таким образом, мы не контролируем номера мобильной связи, которые используются поставщиками финансовых услуг для аутентификации нас как законных пользователей.
В абсолютном большинстве случаев номер мобильной связи не является фактором знания, фактором владения или фактором неотъемлемости. Соответственно, аутентификация по номеру — заведомо слабый, дефектный инструмент обеспечения безопасности.
Что не так с финансовыми учреждениями?
Итак, номер мобильной связи — неудачный инструмент аутентификации пользователей значимых сервисов или услуг. Продвигать использование мобильной связи в таком качестве — проявление глупости, жадности или безответственности.
К несчастью, эта практика уже много лет является повсеместной на отечественном рынке финансовых услуг. Его бессменный лидер, теперь уже государственный «ПриватБанк», по-прежнему предлагает подтверждать перевод денег между картами (версии для голоса и SMS), используя финансовый номер как единственный (!) инструмент аутентификации. Каким образом этот сервис используется мошенниками, можно посмотретьв одной из передач программы «Аферисты в сетях».
Мошенники высматривают подходящие предложения на сайтах продаж вроде OLX, предлагают перевести деньги на карту, таким образом выясняя ее номер. Затем отправляют жертве фальшивые SMS с уведомлением о пополнении счета. В случае особого везения они получают в свое распоряжение и номер карты, и финансовый номер жертвы, и товар, который она продавала. Если везет не очень, у них оказывается номер карты и финансовый номер, к которому она привязана. Завладев путем восстановления SIM-карты финансовым номером жертвы, они выводят с ее карты все деньги.
Мало того, достаточно иметь доступ к финансовому номеру клиента «ПриватБанк», чтобы оформить на него полнофункциональную ЭЦП. Какими проблемами это чревато, можно понять на примере другого государства, где набирает масштабы эпидемия мошенничеств с ЭЦП. Получив по липовой доверенности чужую ЭЦП, мошенники оформляют на жертву фирмы-однодневки, используемые для различных махинаций. Более того, уже получил огласку случай переоформления квартиры.
В этом месте стоит сделать паузу и хотя бы бегло ознакомиться с российским опытом. А в России с мошенническими схемами на основе уязвимостей SMS-аутентификации все намного хуже.
При этом стоит напомнить, что в России любые услуги мобильной связи персонифицированы, любая кража финансового номера — это заведомый криминал. Как и в США, преступники сплошь и рядом не парятся с подделкой документов, предпочитая заплатить сотрудникам операторских компаний.
Много лет наблюдая за тем, что происходит на потребительских рынках РФ, могу смело утверждать, что в родных палестинах царят нравы едва ли не вегетарианские. Происходящее на российском рынке мобильной связи или в банковской сфере можно назвать беспределом, настолько нагло и масштабно там воруют деньги. Казалось бы, парадокс, российские банки традиционно отставали от украинских в части разного рода «инноваций». Например, лидер российского рынка, «Сбербанк» только сейчас собрался облагодетельствовать своих клиентов возможностью снимать деньги в банкомате без карты, только по номеру телефона. В «ПриватБанке» эту дыру для мошенников открыли уже лет пять или шесть назад.
Единственная причина, по которой украинцы не сталкиваются с мошенническими действиями в таких масштабах, как россияне, это бедность украинского рынка.
Киберпреступность давно уже имеет форму высокопрофессиональной деятельности, хорошо организованной, структурированной и нацеленной на максимальный экономический результат. Учитывая фактическое отсутствие в сети межгосударственных барьеров, преступники предпочитают инвестировать свое время и другие ресурсы в те рынки, где отдача выше. Будучи одной из самых бедных стран Европы, Украина попросту не выдерживает конкуренции с Россией. Впрочем, кража денег с банковских карт с помощью финансового номера быстро становится в Украине (если уже не стала) тривиальным занятием, уделом начинающих воришек и мелких прохвостов.
Пришло время назвать украинские финансовые учреждения вольными или невольными соучастниками подобных мошенничеств. Основанием для этого являются следующие факты:
- пользовательские договоры, которые приходится подписывать клиентам, напрочь игнорируют данные риски. Например, у клиентов нет обязательства использовать именно персонифицированные услуги мобильной связи;
- финансовые учреждения не желают предпринимать для защиты своих клиентов даже такие элементарные шаги, как обмен информацией с операторами связи. Между тем, это позволило бы операторам выявить тех своих абонентов, которые находятся в группе риска;
- финансовые учреждения не предоставляют своим абонентам возможность принудительно заблокировать использование мобильного телефона для аутентификации.
Как результат, в случае угона клиент оказывается подобен рыбе, выброшенной на берег. Он кругом виноват, хотя не имеет никакого влияния на ситуацию.
Финансовые учреждения имеют прямой, самый что ни на есть непосредственный интерес навязывать своим клиентам заведомо ущербные инструменты аутентификации.
Когда первопроходец в этом направлении, «ПриватБанк» десять лет назад вводил аутентификацию по номеру мобильной связи, его акционеры (те самые, да) и менеджмент ставили перед собой задачу подмять под себя весь массовый рынок.
Во главу угла ставились простота и удобство, потому что это обеспечивает максимальные охват и экономический результат. В рамках той модели отношений, которую навязали украинцам инноваторы из «ПриватБанка», вся ответственность за любые проблемы с финансовыми номерами мобильной связи возлагается на самих клиентов. Или на операторов связи, если клиенты смогут это доказать. Показательно, что когда бывшие менеджеры «ПриватБанка» принялись за свой новый проект, monobank, они использовали совершенно иные подходы к безопасности клиентских денег.
Впрочем, что взять с разнокалиберных дельцов постсоветского пространства, если даже гранды глобального бизнеса вроде Facebook продолжают морочить голову своим пользователям, заявляя им SMS в качестве одного из вариантов двухфакторной аутентификации. В это не хочется верить до такой степени, что даже эксперты утверждают обратное. Однако, увы, дело обстоит именно так. Для сравнения Alphabet (бывший Google, Inc.) все-таки говорит про аутентификацию двухэтапную.
В 2016 году National Institute of Standards and Technology подготовил предварительную версию своих рекомендаций по вопросам мультифакторной идентификации в цифровых средах. Среди прочего он содержал вполне однозначное осуждение практики использования в этих целях SMS. Американская IT-индустрия во главе с вышеупомянутыми грандами стала на дыбы. В результате NIST пошел на попятную и существенно смягчил свою позицию, несмотря на очевидный вред данной практики для массовой аудитории. Подробности этой истории можно найти здесь, здесь и здесь.
Что не так с операторами?
Операторы мобильной связи наряду с пользователями банковских услуг оказались заложниками алчности и безответственности финансовых учреждений. Последние создали и уже который год наслаждаются ситуацией, при которой один из наиболее сложных и затратных аспектов их бизнеса — аутентификация пользователей систем удаленного обслуживания — основывается на де-факто бесплатных для них услугах мобильной связи. Развивая удаленное обслуживание, банки и микрофинансовые организации экономят не только на отделениях и операционистах, но даже на процедурах безопасности.
Помимо своей воли операторы оказались в ситуации, когда им приходится обеспечивать критические функции — аутентификацию пользователей финансовых услуг — с помощью негодных средств, без компенсации издержек и даже без договоров с выгодополучателями.
Технологии мобильной связи предусматривают много разного, включая изощренные средства аутентификации. Однако эти средства не входят в тот базовый набор услуг, который операторы предоставляют по умолчанию. Это не телефония, не SMS и не передача данных. Более того, цели и приоритеты традиционного бизнеса мобильной связи входят в противоречие с идеей использовать его услуги как инструментыбезопасности.
Различные, но одинаково важные для оператора группы абонентов выдвигают ему взаимоисключающие требования. Для пользователей предоплаченных услуг, в общем случае, важна минимизация затрат времени и сил. Поэтому, чем проще любые процедуры, тем лучше. Между тем пользователи финансовых номеров ожидают прямо противоположного, что оператор затратит как можно больше времени и сил, выясняя личность заявителя, перестрахуется и т.п.
Операторы мечутся, совершая противоречащие друг другу шаги, дабы успокоить наиболее значимую в данный момент часть своих абонентов. «Vodafone Украина» предложил услугу удаленной замены SIM-карт весной 2018 года, чтобы по случаю развертывания 4G-сетей дать возможность миллионам абонентов с минимальными усилиями мигрировать на USIM-карты. Через полгода компании пришлось дать возможность блокировать эту опцию, чтобы защитить абонентов от угона номера. А потом пришла весна 2019-го и мошенники совершили целый ряд успешных атак на банковские счета, используя удаленную замену SIM-карт как способ угона номера. Спасаясь от вала обвинений в пособничестве преступникам, компания вовсе отказалась от этой практики. Ей можно только посочувствовать — на ее месте мог оказаться любой из операторов «большой тройки».
Подведем итоги
Повсеместная практика аутентификации по номеру мобильной связи является огромных размеров дырой в системе безопасности, на которую вынуждены полагаться клиенты украинских финансовых учреждений. Связанные с этим риски лежат преимущественно на самих клиентах — такова целиком осознанная политика этих учреждений.
Особенности общедоступных услуг мобильной связи, на которых финансовые учреждения выстроили систему безопасности своих клиентов, не позволяют устранить угрозу со стороны мошенников. Даже персонификация, то ли путем перехода на контрактное обслуживание, то ли путем регистрации на свое имя номера предоплаченных услуг, не является панацеей. Она всего лишь уменьшает риск угона финансового номера и последующие судебные издержки жертвы.
За последние десять лет поставщики самых разных услуг, включая крупнейшие международные компании, инвестировали колоссальные ресурсы в то, чтобы сформировать у массовой аудитории привычку рассматривать аутентификацию по номеру мобильной связи как вполне адекватный инструмент. Они прямо заинтересованы в том, чтобы эта привычка сохранялась как можно дольше.
Использование дефектных, но простых и удобных для массового пользователя процедур безопасности обеспечивает поставщикам финансовых услуг значимый экономический результат. Если необходимо, они готовы жертвовать интересами клиентов снова и снова.
Адекватное государственное регулирование и внешнее принуждение — единственный способ защитить интересы десятков миллионов жителей Украины, пользователей финансовых услуг.
Что же делать?
Есть несколько вариантов решения этой проблемы. Для начала кто-то должен достаточно громко и внятно заявить о наличии проблемы. Это могут быть представители негосударственного сектора, это могут быть объединения участников рынка, политики, наконец.
Далее уже со стороны операторов мобильной связи должна прозвучать готовность и желание обеспечить аутентификацию пользователей надлежащим образом. Операторам также стоит, наконец, прямо и без обиняков заявить, что безопасность стоит денег. Предложить людям задуматься над простым вопросом — сколько денег, по их мнению, должен получать человек, обладающий полномочиями сделать дубликат от сейфа, где лежат ваши $100 000? Миллион долларов? Двести шестнадцать миллионов?
Наиболее эффективным элементом полноценной двухфакторной аутентификации в настоящее время считаются цифровые артефакты (токены), использующие т.н. сильную криптографию (на базе открытых ключей). Такие артефакты имеют вид специального хранилища, USB-брелка или SIM-карты, в котором хранится заведомо уникальный и неизвлекаемый цифровой ключ. Доступ к функциям ключа защищtн PIN-кодом или биометрическим датчиком.
2FA-токены попроще и подешевле, без PIN-кода, зато от $8…
…и подороже, но и максимально защищенные.
Чтобы обойти двухфакторную защиту на основе такого токена, злоумышленникам необходимо, во-первых, найти способ обойти первый барьер — пароль или биометрию, затем, во-вторых, физически завладеть токеном и, в-третьих, обойти его защиту в виде PIN-кода или отпечатка пальца. Это аналогично краже ключа от сейфа с тем отличием, что у ключа нет PIN-кода.
Очевидно, что абсолютное большинство пользователей хотело бы сохранить возможность аутентификации без использования отдельных устройств вроде USB-брелков. На этот случай уже сейчас в Украине доступны полноценные криптографические токены в виде MobileID. Это, по сути, давно знакомая украинцам ЭЦП, встроенная в SIM-карту.
Потенциально еще более интересным решением представляется Mobile Connect, разработанная под эгидой GSM Association система управления пользовательской идентичностью. Ее функциональность весьма разнообразна, в нашем случае достаточно остановиться на том как реализуется там аутентификация пользователей в сторонних приложениях.
Как и раньше, основным идентификатором выступает привычный всем номер мобильной связи. Однако в данном случае оператор знает, что номер — всего лишь общедоступный указатель на совершенно конкретную SIM-карту и проверяет ее наличие в телефоне, с которого отправлен запрос. Поэтому угон номера становится бесполезен для мошенников, запросы на авторизацию не будут исполняться. SIM-карта оказывается полноценным элементом двухфакторной аутентификации, как это и должно быть. Ключом в вашем кармане.
Если SIM-карта с поддержкой MobileID или Mobile Connect вставлена не в смартфон, а в кнопочную звонилку, устраняется основной риск пользования этими вариантами аутентификации. Ввиду отсутствия операционной системы и возможности открывать сообщения с «упругими сиськами» исчезает риск заражения устройства вирусами. В руках пользователя оказывается, по сути, тот же криптографический токен, причем не с одним PIN-кодом, а с тремя — самого приложения аутентификации, включения телефона (SIM-Lock) и клавиатуры.
Ссылаясь на все вышесказанное, заинтересованные лица и группы лиц могут лоббировать появление следующих нормативных обязанностей для поставщиков финансовых услуг:
- поддержка MobileID и Mobile Connect как индустриального стандарта аутентификации. Каждое учреждение обязано обеспечить возможность аутентификации с использованием надежных инструментов;
- возможность для пользователя отключить аутентификацию по номеру мобильной связи. Те пользователи, которые обзавелись надежными средствами аутентификации, должны иметь возможность заблокировать ненадежные, т.е. закрыть дыру, через которую могут залезть воры;
- предоставление операторам связи списка номеров, которые используются для аутентификации. Финансовые учреждения обязаны предоставлять операторам данные о тех номерах, которые точно требуют повышенного внимания. Это позволит избежать ситуации, когда операторы усложняют жизнь всем, включая тех, кому это вообще не нужно;
- информирование пользователей о рисках в связи с использованием мобильной связи. Финансовые учреждения обязаны предоставлять своим клиентам информацию о том, какие риски возникают при использовании мобильной связи — типовые угрозы, сценарии, накопленную статистику проблем и реалистичные оценки их вероятности;
- деактивация по умолчанию самой возможности аутентификации по номеру мобильной связи. По умолчанию финансовые учреждения обязаны предлагать новому клиенту надежные инструменты аутентификации, благо они давно существуют. Если новый клиент выражает свое информированное согласие сыграть в рулетку, аутентифицируясь по телефону, тогда пожалуйста. Но только если он сам об этом попросил, отказавшись от альтернатив.
Первые два требования составляют программу-минимум, остальное является весьма желательным.
Источник: ain.ua