Чем плоха СМС-аутентификация и как защититься от угона SIM-карты26.03.2020 14:33

Привет, Хабр! В прошлой статье мы затронули тему, что аутентификация по СМС — не самый лучший способ многофакторной аутентификации. Такой способ используют многие веб-сервисы: соцсети, почтовые клиенты, платежные системы. Вдобавок номер телефона используется в качестве логина: для регистрации ВКонтакте, в Telegram и так далее. 

Если SIM-карту угонят, а СМС перехватят, последствия будут плачевны. Многие пользователи переписываются в мессенджерах с коллегами и партнерами, поэтому под угрозой окажутся не только личные данные, но и корпоративные.  Если в вашей компании  не используется корпоративная инфраструктура для общения, то незащищенные аккаунты сотрудников ставят под угрозу бизнес. Так что стоит позаботиться о безопасности заранее.

В этой статье возьмем несколько популярных сервисов и заменим СМС-аутентификацию на более безопасные способы. Заодно разберемся, как дополнительно защитить аккаунты от угона и спать спокойно.

На статью нас вдохновил лонгрид MyCrypto, посвященный защите от SIM-джекинга (SimJacking). Мы изучили их рекомендации и составили актуальный список для России. 

tyxeowl-fazrkbkvyiug5e7z6jg.png

Зачем избавляться от аутентификации по СМС


Злоумышленники могут получить СМС и зайти в чужой аккаунт сразу несколькими способами:

  1. Если смогут заполучить телефон с SIM-картой внутри. 
  2. Если перевыпустят SIM-карту по поддельным документам. Мошенники покупают слитые паспортные данные и подделывают доверенность или даже сам паспорт. Отправит ли оператор документы на проверку в службу безопасности, зависит от человеческого фактора. 
  3. Если угонят SIM-карту по сговору с сотрудниками оператора.   
  4. Если перехватят СМС с помощью уязвимостей в самой SIM-карте или в телефоне.


Второй и третий способ — самые массовые. Опасность в том, что потерпевший не сразу поймет, что симку угнали. У мошенника есть все шансы нажиться, до того как вы осознаете проблему и успеете восстановить доступ к своей SIM-карте. 

По каким признакам ясно, что симку угнали:


  • Оператор присылает СМС о замене SIM-карты.
  • На телефоне пропадает сеть оператора, перезагрузка не помогает.
  • На почту приходят письма о попытках переустановить пароль в разных сервисах.
  • Apple ID или аккаунт Google начинает требовать ввести пароль.
  • Приходят сообщения о привязке аккаунта к новому устройству.
    ajsdj-kboap3ysafdqtc-3-nram.png
  • Если где-то для двухфакторной аутентификации используются push-сообщения, то начнут приходить коды от разных сервисов. 


Как предупредить угон SIM-карты


  • Не выкладывайте в интернет сканы и номера персональных документов, в том числе на онлайн-диски, в соцсети, мессенджеры, обменники изображениями (исключений нет).
  • Зайдите в офис вашего сотового оператора и напишите заявление, которое запретит перевыпуск SIM-карты по доверенности. У операторов услуга называется «Запрет действий по нотариальной доверенности».
  • Усложните доступ к смартфону с помощью надежного пароля и аутентификации по отпечатку пальца/Face ID.
  • Купите отдельный мобильный телефон и выпустите симку, номер которой не известен никому. Это будет ваш «секретный номер» для СМС-кодов, если какой-то сервис не позволяет защитить аккаунт другим способом. Запретите перевыпуск симки по доверенности.   


Что делать, если все-таки угнали  


Если SIM-карту уже угнали, у вас будет не более суток на блокировку. Поэтому нужно держать под рукой сценарий быстрой блокировки:

  • придумайте способ позвонить оператору, если потеряли телефон, например, с ноутбука или планшета. К примеру, установите туда Skype или Viber;
  • пополните балансы для звонков;
  • найдите номер своего мобильного оператора и запишите его в журнал Skype или Viber;
  • отрепетируйте потерю телефона: вытащите симку и попробуйте позвонить оператору выбранными способами. 


Как избавиться от СМС-аутентификации и защитить аккаунты 


Наша общая рекомендация — откажитесь от СМС-аутентификации везде, где можно. Посмотрим, как это сделать для популярных веб-сервисов. 

Сначала рассмотрим те, где используется СМС-аутентификация. А потом защитим те, где сам сервис привязан к номеру телефона.

Google-аккаунт


  1. Зайдите в аккаунт Googlе и перейдите на вкладку «Безопасность».
  2. В пункте «Вход в аккаунт Google» включите двухэтапную аутентификацию. Во всплывающем окне пройдите повторную аутентификацию.
    ya9ww8ssv33wwwp6c114ilvuktk.png
  3. Выберите второй фактор аутентификации.
    Разберем, что лучше выбрать. 
    • СМС или голосовое подтверждение: стоит отказаться от этого метода полностью.
    • Резервные коды: один из лучших способов для резервного входа, особенно если использовать его с максимальной осторожностью.
      Запишите их на бумагу, сделайте несколько копий и уберите в несколько безопасных мест. Так они будут в безопасности от онлайн-атак.
    • Google authenticator: довольно распространенный метод аутентификации, одноразовые пароли позволяют повысить безопасность вашего аккаунта.
      Но в свете последних событий, стоит тщательнее выбирать приложение.
    • Уведомление от Google: отправляет push-уведомление на ваш доверенный  девайс. 
    • Электронный ключ: идентификатор на физическом носителе. Это либо отдельное устройство, которое нужно вставить в USB-порт компьютера при входе в Google-аккаунт, либо встроенный в смартфон ключ, который передается по Bluetooth с вашего телефона на компьютер при входе в Google-аккаунт. Технология не лишена неудобств, но позволяет обеспечить высокий уровень безопасности, особенно если использовать отдельный девайс, а не смартфон. Это позволяет разделить все факторы на независимые сущности и не «класть все яйца в одну корзину».

  4. Выберите резервный способ на случай, если основной способ будет недоступен. Помните, что на одном мобильном не стоит использовать совместно push-уведомления, голосовые подтверждения и СМС (если вы все-таки не отказались от них совсем).

    vtovjzcfsrs9z9qua4rjhm0lvdo.png

  5. Далее в списке есть выбор надежных устройств: для них второй фактор не требуется. Нужно проверить, защищены ли все доверенные устройства. Или очистить весь список и добавить по-настоящему нужные заново.

    is-mc7u-ee9beurcm-cmbus6tme.png

  6. Перейдем обратно к https://myaccount.google.com/security и пройдемся по всем пунктам

    ya9ww8ssv33wwwp6c114ilvuktk.png

    • Пароль: проверьте, что ваш пароль надежен и уникален. Например, можно воспользоваться рекомендациями для создания сложных паролей.
    • Пароли приложений: проверьте и оставьте только те, которые вам нужны
    • Способы подтверждения личности — номер телефона: Уберите свой номер телефона. Вы можете восстановить доступ к аккаунту через другой фактор, если необходимо.
    • Способы подтверждения личности — резервный адрес электронной почты: уберите резервный адрес. 

      lk8_xosq0mv4zf2hoxxgyl7m8f4.png

    • Ваши устройства: уберите все лишние.

      bmdsx3ttl_v-7ytxkrnpuzieguk.png

    • Сторонние приложения с доступом к аккаунту: удалите все приложения, которыми не пользуетесь. 

      7hlhtlasx3gwesl6lmu0k_hv50i.png

    • Вход через аккаунт Google: удалите все, которыми не пользуетесь.
    • Доступ к связанным аккаунтам: в случае угона аккаунта можно упростить доступ к другим сайтам для злоумышленника. Удаляйте все.
    • Диспетчер паролей: перенесите пароли в отдельный Password Manager. Отключите автосохранение паролей.

      wdqurs__irv6zebhvbgcs7bihus.png


Яндекс


В Яндекс-аккаунте нет возможности включить двухфакторную аутентификацию без привязки номера. Поэтому мы будем использовать «секретный номер» и включать дополнительные факторы в других местах.

  1. Войдите в ваш аккаунт на Яндексе и пролистайте до пункта «Пароли и авторизация».

    i3kn1ipsnym_hd6mx7dtn0qt3v0.png

    • Пароль: проверьте свой пароль на надежность и уникальность (см. выше)
    • Контрольный вопрос: выберите наиболее сложный и неочевидный потенциальному злоумышленнику ответ. Используйте нестандартные способы записи ответа и мнемонические техники запоминания.
    • Включить пароли приложений: отдельные приложения могут подключаться к вашему аккаунту Яндекс. Отключите эту функцию, если ею не пользуетесь. 

      1xdzg1mdxjfdp3ibu7uvtmwfgim.png


  2. Настройте двухфакторную аутентификацию: используйте «секретный номер». 

    3_wtxmrkszbhtmo_gjaponzifyc.png

  3. Вернитесь к пункту «История входов и устройства». Выберите «Выход на всех устройствах».

    z2xg0hvrd5vgl_sio-bg0qsm2fy.png

  4. Перейдите к пункту «Почтовые ящики и номера телефонов». Уберите адреса для восстановления.

    ixg-mjgswtyekftgcmgug43dmeo.png

  5. Перейдите в настройки Яндекс Деньги ко вкладке «пароль».
    Здесь мы пройдемся по всем трем кнопкам.

    ksg2zoqn6chj5lk8gioxr8-ioia.png

    • Выпустить аварийные коды: перепишите и сохраните аварийные коды, так же, как сделали это для Google-аккаунта.

      mqn5esvijbjktauyy_cu7j-bdga.png

    • Перейти на пароли в приложении: выберите пункт «приложение с паролями» и проведите синхронизацию с одним из приложений.

      cvudvba4vq5to4ysps5apdy8spa.png

    • Нажмите «Всегда спрашивать пароль».

      nmvov34hh5sh4i1n1b3ibq7kniu.png


Теперь теми же способами защитите ВСЕ сервисы, которые могут использовать СМС-аутентификацию. 

По возможности замените ее или привяжите к «секретному номеру» и добавьте вход по отпечатку пальца.

Вот чек-лист сервисов в порядке приоритета:
Личные:

  • Банковские и платежные сервисы.
  • Государственные сервисы: Госуслуги, ФНС и т. д. 
  • Менеджеры паролей: LastPass, 1Password и т. д.
  • Облачные хранилища: iCloud, Dropbox, OneDrive и т. д.
  • Электронная почта: Mail.ru и т. д.
  • Социальные сети: Vk, Facebook, Twitter, Instagram, LinkedIn, Medium и т. д.
  • Мессенджеры: iMessage, Skype, Slack, Facebook Messenger  и т. д.
  • Фотохостинги: iCloud, Google Photos и т. д.
  • Заметки: Evernote, Scribd  и т. д.
  • Форумы: Reddit, Stackoverflow и т. д.
  • Интернет-магазины и коммерческие сервисы и т. д.


Не забудьте про корпоративную информацию:

  • Репозитории исходного кода: Github, Bitbucket, Gitlab и т. д.
  • Хостинги и платформы для сайтов: Parking, Wordpress, AWS, Microsoft Azure, Digital Ocean и т. д. 
  • Таск-трекеры, CRM и другие платформы для работы: Jira, Mailchimp, Trello и т. д.


Telegram


Аккаунт мессенджера привязан к номеру телефона, поэтому, помимо двухфакторной  аутентификации, настроим дополнительную защиту. 

  1. Установите пароль и вход по отпечатку пальца: зайдите в Настройки безопасности и выберите passcode & touch id.

    4qia5wqqxyjyfd7x9i33uxjfat4.png

  2. Скройте номер телефона: в настройках безопасности найдите Privacy и для номера телефона задайте «nobody». Здесь же запретите звонки. Добавляйте исключения только для людей, которым доверяете.

    qb7dlwvalsgdxidns2n93szrxoo.png

  3. Включите двухфакторную аутентификацию по паролю. Не используйте основную почту для восстановления.

    qaxof4qzialxnemjftmqzjbqnka.png

    l0om9sjwdu2lskxk-pgdsze96ma.png

  4. Зайдите в Devices и закройте все активные сессии, которые кажутся подозрительными.

    3m8rgak7sec4pjxjstvan-xlxk0.png


Все эти меры полностью не защитят от угона SIM-карт, но не позволят отдать мошенникам в руки джекпот. Если пользователи ведут удаленную работу с использованием личных девайсов и общедоступных веб-сервисов, это обезопасит и личные данные, и данные коллег.

© Habrahabr.ru