Главная » Блоги Экспертов И ИТ-Компаний » Риски использования телефонных номеров для проверки подлинности

Риски использования телефонных номеров для проверки подлинности

Хотя данная статья предназначена скорее для крупных компаний, однако она может быть полезной и для любого домашнего пользователя, который использует различные онлайн-сервисы с конфиденциальной или финансовой информацией, и/или является сотрудником какой-либо компании.

Крупные компании подвержены уязвимостям, которые могут привести к серьезным финансовым потерям, причем некоторые из этих уязвимостей проявляются прямо из процедур безопасности. Именно на это было обращено внимание в недавнем судебном иске против AT&T за кражу в общей сложности 24 миллионов долларов США у одного из ее клиентов, криптовалютного инвестора Майкла Терпина. Злоумышленники не проводили сложнейшую атаку, которая смогла бы обойти файерволы и другие барьеры безопасности на платформе криптовалюты, а использовали очень простой вектор атаки: номер телефона жертвы.

SIM-карты уязвимы

Терпин основывает свой судебный иск на ответственности телекоммуникационного провайдера за двойную атаку, которую он перенес: первая из атак использовала тактику подмены SIM-карты (SIM swap hack), которая предоставила злоумышленнику доступ к его телефону, и, следовательно, ко всем его приложениям для онлайн-сервисов. В этом плане SIM-карты необходимы для процессов двухфакторной авторизации (2FA). Теоретически, одновременно не может существовать две SIM-карты с одинаковым номером – на этом принципе построена проверка онлайн-аккаунта с использованием номера телефона для повышения уровня безопасности. Владелец аккаунта получает определенный токен (например, код доступа к онлайн-аккаунту), как правило, через SMS прямо на свой мобильный телефон.

Однако бывают случаи, когда SIM-карта может остаться без контроля со стороны своего владельца: например, когда карта была потеряна, украдена и т.д. В этот момент данные могут быть переданы на устройство, принадлежащее другому лицу, которое как бы заменяет реального владельца (умышленно или по ошибке). В соответствии с иском, после первой подмены SIM-карты, сотрудник AT&T должен был передать злоумышленнику один из токенов, полученных Терпином на своем телефоне, для повторной активации SIM-карты.

А вот теперь произошла и вторая атака: злоумышленник, после получения контроля над SIM-картой, а значит, и всеми онлайн-аккаунтами Терпина с помощью процедуры двухфакторной авторизации (2FA), смог получить доступ к криптовалютной платформе, в результате чего украл его деньги. Терпин считает, что провайдер проявил халатность как в плане своего сотрудника, который стал соучастником в краже, так и в том смысле, что оперативно не отменил соединение между его данными и SIM-картой, чтобы опередить злоумышленника.

В любом случае, он уже стал не первой жертвой такого рода атак, потому что 2FA – это один из наиболее часто используемых в крупных компаниях процедур проверки подлинности личности при доступе к своим онлайн-сервисам. По этой причине, многие эксперты ставят под сомнение безопасность 2FA через мобильные телефоны.

Учитывая, что пользователи полностью находятся в руках своих собственных устройств и мер безопасности своего телекоммуникационного оператора, если эта авторизация – единственный способ контроля, то он также может быть опасным для крупных компаний. Особенно, если сотрудники используют корпоративные мобильные устройства, которые предоставляют им доступ к конфиденциальной корпоративной информации. Как мы уже упоминали ранее, руководители компаний представляют собой один из самых крупных рисков для корпоративной мобильной безопасности, и если, в дополнение к этому, речь идет о крупной компании, то потери в результате такой атаки могут вылиться в миллионы.

Размер имеет значение

Хотя это может показаться удивительным, но именно крупные компании (а не малые и средние предприятия) чаще всего действуют не должным образом, когда сталкиваются с кибер-атаками и уязвимостями. Именно это и подтверждают данные в отчете Penetration Risk Report, составленном консалтинговой компанией в сфере информационной безопасности Coalfire.

Исследование показывает, что из уязвимостей, обнаруженных в крупных компаниях, 49% были сопряжены с высоким риском, в то время как у малых и средних предприятий этот показатель был равен 38%. Среди наиболее распространенных уязвимостей, упомянутых в исследовании, были небезопасные процедуры и протоколы, которые включают в себя и риски безопасности, связанные с корпоративными мобильными устройствами, такими как подмена SIM-карты, что и случилось с Терпиным.

Как крупные компании могут свести к минимуму свои риски безопасности мобильных устройств?

Поскольку была показана недостаточность 2FA, сотрудникам следует использовать приложения аутентификации для своих корпоративных устройств. Эти приложения генерируют временные 6-разрядные токены, связанные с выбранными аккаунтами, которые автоматически меняются каждые 30 секунд, тем самым значительно сокращая возможности злоумышленников получить контроль над приложениями и сервисами, даже если они смогли заполучить контроль над SIM-картой.

Еще одним ключевым средством для повышения безопасности мобильных устройств является защита самой корпоративной сети: руководители служб безопасности должны предоставлять своим сотрудникам зашифрованные соединения, чтобы сотрудники могли удаленно получать безопасный доступ к корпоративным системам, используя виртуальные частные сети (VPN).

Наконец, крайне важно, чтобы крупные компании использовали решения информационной безопасности с опциями расширенной защиты, которые предоставляют полную видимость всех активностей на конечных устройствах, полный контроль над всеми запущенными процессами и сокращение поверхности атаки. Такой помощник как Panda Adaptive Defense является гарантией во избежание рисков. Panda Security является союзником для крупных и очень крупных компаний, предлагая специальный набор сервисов, специфических решений и поддержку, а также помогая создавать стратегии безопасности для предприятий свыше 5000 рабочих станций. Стратегия производителя нацелена на защиту конечных устройств, на которых хранятся конфиденциальные данные всей компании и ее сотрудников. Таким образом, удается сдержать любую атаку, какой сложной она бы ни была, и сократить риски и потери для компаний.

Оригинал статьи: The risk of using phone numbers as authenticators for sensitive information

 

Panda Security в России и СНГ

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 https://www.cloudav.ru


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>