Самая дорогая ошибка в моей жизни: подробно об атаке на порт SIM-карты

Привет! Представляю вашему вниманию перевод статьи «The Most Expensive Lesson Of My Life: Details of SIM port hack» ^[1] автора Sean Coonce.

В прошлую среду я потерял более 100000 долларов. Деньги испарились в течение 24 часов в результате «атаки на порт SIM-карты», которая вычистила мой счёт на Coinbase. С тех пор прошло четыре дня, и я опустошён. У меня нет аппетита; я не могу заснуть; я наполнен чувствами тревоги, совести и стыда.

Это был самый дорогой урок в моей жизни, и я хочу поделиться опытом и усвоенными уроками с как можно бо́льшим количеством людей. Моя цель — повысить осведомлённость людей о таких типах атак и мотивировать вас усилить безопасность вашей онлайн-личности.

Это всё ещё очень сыро (я до сих пор не рассказал об этом своей семье); пожалуйста, оставьте при себе осуждение наивных практик безопасности, рассказанных в этом посте.

Подробности атаки

Вы можете спросить: «А что это вообще за атака на порт SIM-карты?» Чтобы описать атаку, давайте для начала рассмотрим типичную онлайн-личность. Диаграмма ниже должна быть знакома большинству из вас.

У многих из нас есть основной email-адрес, который соединён с ОГРОМНЫМ количеством других онлайн-аккаунтов. У многих из нас также есть мобильное устройство, которое может быть использовано для восстановления забытого пароля от email.

Авторизированный порт SIM-карты

Одна из услуг, которую предлагают операторы связи клиентам — возможность портировать SIM-карту на другое устройство. Это позволяет клиента запросить перенос их номера телефона на новое устройство. В большинстве случаев это абсолютно законный процесс; это происходит, когда мы покупаем новый телефон, меняем оператора и т. д.

Атака на порт SIM-карты

Однако, «атака на порт SIM-карты» — это вредоносный порт, произведённый из неавторизированного источника — атакующим. Атакующий портирует вашу SIM-карту на подконтрольный ему телефон. Затем атакующий начинает процесс сброса пароля на email-аккаунте. Код подтверждения отправляется на ваш номер телефона и перехватывается атакующим, так как он теперь контролирует вашу SIM-карту. Диаграмма ниже показывает атаку пошагово.

Как только атакующий получает доступ к вашему email-адресу, они начинают переходить от сервиса к сервису, где вы используете этот email-адрес (банки, социальные сети и т. д.) Если атакующий особенно вредный, он может закрыть вам доступ к вашим собственным аккаунтам и запросить плату на возвращение доступа.

Давайте отвлечёмся на минуту и подумаем о том объёме личной информации, привязанной к одному аккаунту Google:

• ваш адрес, дата рождения и другая личная информация, позволяющая вас идентифицировать;
• доступ к потенциально компрометирующим фотографиям вас и/или вашего партнёра;
• доступ к календарным событиям и датам отпуска;
• доступ к личным электронным письмам, документам, поисковым запросам;
• доступ к вашим личным контактам и их личной информацией, а также их отношение к вам;
• доступ ко всем онлайн-сервисам, где в качестве средства входа указан ваш основной адрес электронной почты.

Последовательность событий

Чтобы лучше понять, как происходит атака и увидеть её размах, давайте окунёмся во временной график непосредственно этой атаки. Я хочу показать, как атака производилось, что я испытывал в это время и что вы можете сделать, чтобы защитить себя в случае появления подобных симптомов.

Временной график поделен на четыре части:

• Что я испытывал: как происходили события с моей точки зрения — если вы испытываете что-то подобное, то вы, скорее всего, подвергаетесь атаке.
• Что делал атакующий: тактики, которые использовал атакующий, чтобы получить доступ к моему аккаунту Coinbase.
• Испытываемый уровень угрозы: значение, которое я придавал происходящим событиям.
• Желаемый уровень угрозы: значение, которое я должен был бы придавать событиям.

Усвоенный урок и рекомендации

Это был самый дорогой урок в моей жизни. Я потерял значимую долю своего капитала за 24 часа; безвозвратно. Вот несколько советов, которые должны помочь другим лучше защитить себя:

• Используйте физический кошелёк для криптовалюты: перенесите ваши запасы крипты на физический кошелёк ^[2]/оффлайн-хранилище/кошелёк с несколькими подписями ^[3] всегда, когда вы не выполняете транзакций. Не оставляйте средства на биржах. Я воспринимал Coinbase как банковский счёт, но у вас не будет никакого выхода в случае атаки. Я знал об этих рисках, но я никогда не думал, что что-то подобное может произойти со мной. Я очень сильно жалею, что не предпринял более серьёзных мер по обеспечению безопасности моей крипты.
• Двухфакторной аутентификации на основе SMS недостаточно: вне зависимости от того, что вы хотите защитить в сети, перейдите на аппаратную защиту (например, что-то физическое, что атакующему придётся заполучить, чтобы провернуть атаку). В то время, как Google Authenticator ^[4] или Authy ^[5] могут превратить ваш телефон в подобие аппаратной защиты, я бы порекомендовал пойти дальше. Приобретите YubiKey ^[6], который вы контролируете физически и который не может быть подменён.
• Уменьшите ваш онлайн-след: поборите стремление без нужды делиться личной информацией, которая может вас идентифицировать (дата рождения, локация, фотографии с геоданными и т. д.) Все эти как бы публичные данные могут сыграть с вами в будущем злую шутку в случае атаки.
• Google Voice 2FA: в некоторых случаях сервис может не поддерживать аппаратную двухфакторную аутентификацию, полагаясь на более слабые SMS-сообщения. Тогда будет хорошей идеей создать виртуальный номер телефона в Google Voice (который не может быть портирован) и использовать его в качестве номера для двухфакторной аутентификации. (примечание переводчика: данный способ работает только в США)
• Создайте второстепенный email-адрес: вместо того, чтобы привязывать всё к одному адресу, создайте второстепенный email-адрес для критически важных аккаунтов (банки, социальные сети, криптовалютные биржи...) Не используйте этот адрес ни для чего другого и держите его в секрете. Не забудьте защитить этот адрес любой формой двухфакторной аутентификации.
• Оффлайн-менеджер паролей: используйте менеджер паролей. А ещё лучше — используйте оффлайн-менеджер паролей, вроде Password Store. У Ирвика есть отличное сравнение различных менеджеров паролей ^[7] а также рекомендации для более технически подкованных.

Что касается комментариев читателей...

Учитывая мои практики по защите устройства, я, наверное, заслуживаю быть взломанным — я понимаю это. От этого не становится легче, и осуждение только размывает смысл истории, который заключается в том, чтобы:

• дать другим понять, насколько легко подвергнуться опасности;
• использовать полученные знания и рекомендации, чтобы возвести в приоритет безопасность вашей онлайн-личности.

Я не могу перестать думать о маленьких, простых вещах, которые я мог бы сделать, чтобы защитить себя. Мои голова забита мыслями о том, «а что если бы...»

Однако, эти мысли бок о бок сопоставлены с двумя пересекающимися чувствами — лень и предвзятость выживания. Я никогда не воспринимал свою онлайн-безопасность всерьёз, потому что я никогда не испытывал атаку. И хоть я и понимал свои риски, я был слишком ленив, чтобы защитить свои активы с подобающей тому строгостью.

Я призываю вас поучиться на этих ошибках.

Автор: Никита Карамов

Источник ^[8]