Перехват SMS и TDoS-вымогательство — как предотвратить эти и другие ИТ-риски
Рекомендации от экспертов Trend Micro
Телекоммуникационная отрасль, с одной стороны, воспринимается как неотъемлемая часть ИТ-индустрии, с другой — как совершенно отдельное направление. В силу этого может показаться, что риски, характерные для ИТ, не являются угрозами для телекома, однако в действительности это не так. Обе отрасли объединены общим фундаментом, а значит, не только технологии, но и угрозы имеют много общего.
В рамках своего исследования ИТ-рисков в телеком-отрасли эксперты Trend Micro собрали характеристики потенциальных угроз, а также рекомендации по улучшению системы безопасности предприятия и телекоммуникационных компаний. Об этом — Михаил Кондрашин, технический директор Trend Micro в России и СНГ.
Перехват голосовых вызовов
Голосовые звонки считаются одним из самых надежных видов связи, но злоумышленники могут воспользоваться доверенной средой, инфраструктурой и отношениями между операторами для реализации сценариев удаленных атак. Доступа к телекоммуникационной инфраструктуре в другой стране вполне достаточно для перенаправления и перехвата голосовых вызовов.
Сценарии атак могут включать злоупотребление малыми сотами, установленными в частных помещениях, например, в предприятии общепита, а также использование «военного ящика» или перехват данных и голосовых вызовов с помощью неавторизованной базовой станции.
С учетом уровня предполагаемого доверия атаки на перехват голосовых вызовов или прослушивание чаще всего направлены на высокоуровневые цели: руководителей высшего звена, политиков, адвокатов, журналистов и активистов. Атаки такого типа не только обходят защиту, но и дают доступ к ценной информации, которая может быть использована, например, для влияния на исход переговоров и торговли.
Рекомендация
Для распознавания перехвата вызовов телекому могут пригодиться антифрод-алгоритмы, используемые в финансовом секторе для выявления мошенничества. Группы реагирования на инциденты (IRT) могут отслеживать случаи злоупотреблений и заблаговременно выявлять различные модели преступного поведения.
Пользователям рекомендуется использовать шифрование «точка-точка» в своих голосовых приложениях и отключать GSM (т.е. 2G) на своих смартфонах, если это возможно.
Перехват SMS
Стремясь повысить безопасность приложений, разработчики все чаще включают в свои проекты SMS-аутентификацию как надежный вариант регистрации и одноразовые SMS-пароли для подтверждения транзакций. Однако, поскольку SMS передаются по сети оператора открытым текстом, они уязвимы для перехвата и атак на понижение уровня.
Уровень защиты ядра телекоммуникационной сети зависит от того, как оператор связи воспринимает термин «домен безопасности». На практике опорная телекоммуникационная сеть обычно представляет собой только один домен безопасности, поэтому данные в ней защищены только снаружи, но не изнутри. В результате хакер или инсайдер может перехватить SMS или заставить оборудование перейти с 4G/5G на менее защищенный 2G.
Дополнительный риск создает использование SMS в качестве резервного канала для управления удаленными операционно-технологическими (ОТ) системами, например, промышленными маршрутизаторами и сотовыми устройствами, которые поддерживают передачу команд по воздуху (OTA). Эти системы могут находиться в отдаленных районах, где имеется покрытие только GSM, что делает их более уязвимыми к перехвату SMS.
Рекомендация
Вместо SMS разработчикам следует рассмотреть другие способы аутентификации, например, OTP-аутентификаторы в виде мобильных приложений или push-уведомления на смартфон.
Подмена номера
Подмена номера абонента (CLID) в целом является вполне законным действием, которое выполняется в соответствии со стандартами. Она может использоваться, например, для того чтобы вместо реального исходящего номера центра обработки вызовов абонент видел номер горячей линии 8-800, на который может перезвонить.
Однако, подмена номера также активно используется преступниками для атак на граждан. Например, в России в 2020-2021 годах злоумышленники массово обзванивают клиентов Сбербанка, выдавая себя за различные подразделения кредитного учреждения и выманивая данные банковских карт или коды подтверждения переводов. Подобные атаки используют доверие граждан к номерам известных организаций.
В других сценариях клиент получает звонок или текстовое сообщение от своего банка, в котором его заманивают на фишинговый ресурс и просят сообщить свои учетные данные для входа в онлайн-банк и другую конфиденциальную информацию. К другим сценариям атак также относятся:
- звонки от имени правоохранительных органов и правительственных учреждений;
- звонки с номеров, которые абоненты-чиновники идентифицируют как принадлежащие другим чиновникам, но на самом деле принадлежат пранкерам;
- использование номера клиента для аутентификации звонков в организации.
Подобные атаки наблюдались в 2020 году в Австралии и Сингапуре.
Рекомендация
Пользователи и организации должны дополнительно проверять происхождение входящих звонков и текстовых сообщений в рамках многоуровневой стратегии защиты. Также рекомендуется расширить возможности существующих процессов, используя такие данные, как журналы телекоммуникаций, которые позволяют выявить происхождение текстовых сообщений или звонков.
TDoS-вымогательство
По сравнению с количественной моделью отказа в обслуживании (DoS), который встречается в ИТ-отрасли, когда система перегружается чрезмерным объемом трафика, отказ в обслуживании телефонии (TDoS) — это качественная модель DoS, при которой услуга «отключается» для целевого законного пользователя.
Преступники злоупотребляют существующими бизнес-процессами телекоммуникационных компаний по борьбе с мошенничеством, чтобы создать сценарий, в котором телефонный номер и SIM-карта предполагаемой жертвы будут выглядеть как принадлежащие мошеннику. Затем телекоммуникационная компания блокирует номер и SIM-карту жертвы и отслеживает их как источники потенциального мошенничества. В результате жертве, скорее всего, придется лично явиться в офис телекоммуникационной компании для восстановления доступа к услугам.
Такой вариант DoS можно рассматривать как «черную метку», которую помещают на жертву для ее блокировки. Подобные сценарии атак предполагают нахождение злоумышленника в зоне действия SIM-карты и телефонного номера жертвы, чтобы телекоммуникационная компания могла отследить их как источник мошенничества, а жертва в дальнейшем рассматривалась как очень подозрительная.
Примечательно, что жертва может полностью лишиться возможности подключиться к линии связи и не иметь возможности позвонить. Злоумышленники же будут использовать эту ситуацию для вымогательства, сообщив жертве, что восстановят услуги после выполнения каких-либо требований. Именно такой сценарий атаки был реализован на ряде островов Тихого океана, когда преступники полностью заблокировали их жителям доступ к спутниковой связи — единственному каналу общения с «большим миром».
Рекомендация
Для частных клиентов и организаций разумным способом снизить риски TDoS-атак будет выстраивание взаимоотношений со своим менеджером в телеком-компании. Это позволит в значительной мере обойти недостатки процедур восстановления подключения к услугам связи. Также было бы целесообразно иметь альтернативные средства связи с таким контактным лицом.
«Китобойный промысел» с помощью SIM-джекинга
Китобойный промысел (Whaling) — это разновидность фишинга, при котором в качестве жертв выступают наиболее крупные «обитатели моря», киты — VIP-персоны, среди которых могут быть журналисты, политики, руководители компаний, знаменитости, спортсмены.
SIMjacking — атака с использованием подмены SIM-карты — перенаправляет трафик сотового телефона целевого «кита» на злоумышленника. Это позволяет ему звонить или отправлять сообщения другим сотрудникам, реализуя кампанию по компрометации переписки (BEC), а также перехватывать коды многофакторной аутентификации (MFA) на основе SMS или авторизации банковских переводов компании.
Рекомендация
Использование SMS для аутентификации и подтверждения операций крайне ненадежно. Мы рекомендуем применять решения, не основанные на SMS, например, приложения-аутентификаторы. VIP-клиенты также могут использовать систему управления идентификацией и активами (IAM) и пересмотреть контроль IAM, осуществляемый персоналом телекоммуникационных компаний.
Интеграция телекоммуникационной инфраструктуры является тенденцией для всех критически важных отраслей. Она, несомненно, продолжится с учетом возможностей, которые открывает экосистема 5G и ее развитие в плане технологий финансов и поверхностей атак. В связи с этим ИТ-отделы и службы безопасности должны отслеживать изменения в перечне рисков для ИТ-активов, а также различия в концепциях, оборудовании и навыках для борьбы с такими рисками.
При выборе инструментов для повышения уровня безопасности необходимо учитывать зависимости и уязвимости, возникающие в результате применения новых технологий и разработок.
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Бизнес Не из гаража, а почти из холодильника: история Geely 01 июля 2026, 14:58
-
Личное Лэй Цзюнь. Как создатель Xiaomi заработал 30,4 млрд $ на дешёвых смартфонах 13 июля 2026, 20:56
-
Личное Лионель Месси. Как мальчик с дефицитом гормона роста стал самым титулованным футболистом в истории 11 июля 2026, 20:02
-
Автомобили От гоночной трассы до «Матрицы»: история Ducati 10 июля 2026, 23:39
-
Личное Ламин Ямаль. Как сын бедных иммигрантов стал самым дорогим подростком мирового футбола 10 июля 2026, 21:17
-
Личное Оливер Блюме. Немецкий инженер, который должен снова сделать Volkswagen великим 09 июля 2026, 21:27
-
Автомобили Как машина для гонок стала символом тихих денег: история Bentley 09 июля 2026, 02:55
-
Россия «Аэрофлот» запустил чат-бот для покупки билетов в Max — в мессенджере можно забронировать билеты и добавить багаж 13 июля 2026, 18:40
-
Технологии Продажи новых iPhone могут стартовать уже 18 сентября — Apple готовит выпустить раскладушку за $3000 13 июля 2026, 17:10
-
IT Конкуренция в ИТ усилилась: в 2025 году на рынок вышло 350 тыс. специалистов, но вакансий стало на треть меньше 13 июля 2026, 20:40
-
Автомобили Wildberries успешно завершила тестирование WB Taxi в Минске — сервис стал доступен всем пользователям 13 июля 2026, 20:20
-
IT Каждая пятая IT-компания в России готовится к падению выручки: уже столкнувшиеся с кризисом фирмы не ждут улучшений 13 июля 2026, 20:00
-
Автомобили Электрокар «Атом» включили в список разрешенных для такси — сам автомобиль даже не поступил в продажу 13 июля 2026, 19:45
-
Автомобили Лидером рынка премиум-авто в России стал китайский VOYAH — стоимость моделей начинается от 5 млн ₽ 13 июля 2026, 19:30
-
Деньги Цифровой рубль может принести экономике 423 млрд ₽ в год — бизнес сократит издержки, а банки заработают на сервисах 13 июля 2026, 19:00