Телефонный номер и нелегальный перевыпуск SIM-карт

Нередко к мобильному телефонному номеру привязаны все подряд онлайн-сервисы, включая электронную почту. Где-то такая привязка просто обязательна, так как предписана правилами идентификации пользователя, например, для систем интернет-банка или платёжных систем. Где-то пользователь сам следует настойчивой рекомендации “повысить безопасность аккаунта” и привязывает его к телефонному номеру (оставим за скобками охоту отделов маркетинга за телефонными номерами, которая иногда прикрывается мнимой заботой о безопасности).

Хорошо известна следующая атака: злоумышленники, используя подлог документов, перевыпускают SIM-карту на номер атакуемого пользователя. Это делается через оператора связи. Перехватив таким образом телефонный номер можно захватить и привязанные к нему сервисы, так как появляется возможность принимать SMS и звонки. Часто телефонный номер используется для получения в SMS кода, позволяющего сбросить пароль от пользовательского аккаунта. Этот механизм приготовлен на случай, если пользователь пароль забыл. Интересно, что и механизм замены (перевыпуска) SIM-карты у оператора – служит той же цели: позволить абоненту получить доступ к выделенному ему номеру, если абонент потерял SIM-карту (читай – забыл пароль, хотя SIM-карта – собственность оператора, о чём, кстати, многие равно так же забывают).

То есть, тотальная привязка авторизации сервисов к телефонному номеру означает, что добросовестный пользователь сделал защиту всех этих сервисов эквивалентной защите механизма перевыпуска SIM-карты оператора связи. И защита этого механизма у оператора крайне слаба. Но у оператора связи механизм тоже служит для восстановления доступа, а так как третьей стороны, на которую можно было бы спихнуть “дополнительную проверку”, уже нет, оператор оказывается в невыгодном положении. Посудите сами: попытка загородить перевыпуск SIM-карты кучей препятствий (дополнительные проверки паспорта, дополнительное время на обработку данных, просмотр сетевых событий службой безопасности, “выстаивание” заявки) грозит не только дополнительной нагрузкой на персонал, но и отдельным потоком жалоб от недовольных пользователей, которым отказывают в восстановлении, потому что они не могут пройти проверку. Получается некоторый клинч: в нынешней реальности замена SIM-карты оказывается чрезвычайно ответственной операцией для абонента, превышающей по требованиям безопасности первичное заключение договора, но при этом данная операция изначально являлась рутинной, не затрагивавшей безопасность других сфер жизни абонента. Отсюда и проблемы. И, конечно, свою роль играет тот факт, что сопоставить номер абонента с его персоной и, скажем, адресом электронной почты – часто не составляет труда.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 13

  • 1. 22nd September 2015, 10:36 // Читатель RedElf написал:

    Можно сделать как обычно – разрешить пользователям “включать” усложненный механизм перевыпуска их симок. Кто хочет – велкам, кто не хочет – пожалуйста, но потом не жалуйтесь.

  • 2. 22nd September 2015, 13:33 // Читатель sarin написал:

    “Хорошо известна следующая атака: злоумышленники, используя подлог документов, перевыпускают SIM-карту на номер атакуемого пользователя” – это, конечно, не факторизация большого целого, но вот сложность атаки явно не проще подделки документов. в России документом для перевыпуска SIM обычно является паспорт. скажите, у Вас правда есть возможность заказать фальшивый паспорт? да не простой, а чтобы номер в нём был определённый и другие паспортные данные тоже. если учесть, что в большинстве случаев поддельные документы изготавливаются из настоящих переклейкой фотографии, а настоящий паспорт с таким номером и ФИО у его владельца, то становится очевидно, что атака явно не дешёвая. никто не станет подделывать паспорта для массовой кражи кредиток. если по человеку делается такая атака, то она, стопроцентно, адресная. кроме этого, при перевыпуске старая симка обычно превращается в тыкву, соответственно атакуемый может обнаружить атаку. да, что это атака он может и не понять, но вот снова перевыпускать карту скорее всего отправится. соответственно, у атакующих будет ограничено время за которое они должны угнать аккаунт.

    тут сразу напрашивается возможное решение: если сделать чувствительные операции вроде сброса пароля разнесёнными во времени (сначала, используя телефон, надо сброс запросить, спустя несколько часов, снова используя телефон, получить новый пароль) то описанная атака с перевыпуском становится ооочень маловероятной.

    другое дело, что на оператора можно осуществить и кибератаку. и может быть, я не знаю таких деталей, получится читать все сообщения, что получает и отправляет атакуемый. тогда да, плохо ему. но чувствительные сервисы должны использовать многофакторную авторизацию, а их клиенты, по возможности, держать в тайне перечень таких используемых сервисов, выбранные для авторизации механизмы и используемые аккаунты.

  • 3. 22nd September 2015, 18:28 // Читатель Шурик написал:

    Зачем подделывать документы? В одном только Билайне (и только открыто, с признанием в официальных источниках) сейчас двое под следствием и один осуждён. Сотрудники торговых точек. Просто по имеющимся на самих точках ксерокопиям паспортов атакуемого абонета. В двух случаях сканы ксерокопий пересылались сообщникам (тоже торговцам на точках билайна) в соседних регионах. И это только би, и только официально. Неужели у других операторов ситуация иная?

    Любой оператор мобильной связи держит в не слишком защищённом виде слишком ценные для сегодняшнего абонента ключики. Это реально большая беда. И именно об этом заметка.

  • 4. 24th September 2015, 08:34 // Читатель Vict написал:

    Ну вот подробно как это делается:

    http://mobile-review.com/articles/2015/bee-sim-zamena.shtml

    И не нужно подделывать паспорт, делается липовая доверенность.

    И самый топорный, но действенный способ предохранится, держать отдельную симку в простой звонилке(и лучше дома) для фин.операций с крупными суммами и аккаунтами.

  • 5. 25th September 2015, 23:50 // Читатель arcman написал:

    Способ не поможет – найдут все симки привязанные к жертве и получат дубликаты. А так как сумка лежит дома, то жертва даже не узнает о замене.

  • 6. 29th September 2015, 20:20 // Читатель jno написал:

    https://moskva.beeline.ru/customers/help/safe-beeline/ugrozy-mobilnykh-moshennikov/zapret-deystvyi-po-doverenosti/

    вот как-то так

  • 7. 29th September 2015, 20:41 // Читатель jno написал:

    гы, следом попалось и это:

    http://moscow.megafon.ru/help/services/service/zapret_deystviy_po_doverennosti.html

  • 8. 29th September 2015, 20:49 // Читатель jno написал:

    Про МТС нашёл только, что:

    “””
    Надо придти в офис и попросить чтобы в комментариях к номеру указали, что все действия имеет право совершать только владелец с паспортом.
    “””

  • 9. 29th September 2015, 21:01 // Читатель arcman написал:

    Вся беда в том, что все эти “запреты” – как мертвому припарки.
    Это лишь “комментарий” в свойствах номера и оператор может его “не заметить”, как было в получившем огласку случае с Билайном.

  • 10. 29th September 2015, 21:36 // Читатель Jno написал:

    Это будет уже повод для судебного разбирательства, однако!

  • 11. 29th September 2015, 22:58 // Читатель arcman написал:

    Ну так вот он, повод:
    http://www.mobile-review.com/articles/2015/bee-sim-zamena.shtml

  • 12. 30th September 2015, 00:02 // Читатель Jno написал:

    Натурально! Но пока эта Анна не напишет заявление, ничего и не будет.

  • 13. 30th September 2015, 00:02 // Читатель Jno написал:

    А без этого, и заяву ей писать особо не на кого.