Перехват SMS и TDoS-вымогательство — как предотвратить эти и другие ИТ-риски

Перехват голосовых вызовов

Голосовые звонки считаются одним из самых надежных видов связи, но злоумышленники могут воспользоваться доверенной средой, инфраструктурой и отношениями между операторами для реализации сценариев удаленных атак. Доступа к телекоммуникационной инфраструктуре в другой стране вполне достаточно для перенаправления и перехвата голосовых вызовов. 

Сценарии атак могут включать злоупотребление малыми сотами, установленными в частных помещениях, например, в предприятии общепита, а также использование «военного ящика» или перехват данных и голосовых вызовов с помощью неавторизованной базовой станции.

С учетом уровня предполагаемого доверия атаки на перехват голосовых вызовов или прослушивание чаще всего направлены на высокоуровневые цели: руководителей высшего звена, политиков, адвокатов, журналистов и активистов. Атаки такого типа не только обходят защиту, но и дают доступ к ценной информации, которая может быть использована, например, для влияния на исход переговоров и торговли. 

Рекомендация

Для распознавания перехвата вызовов телекому могут пригодиться антифрод-алгоритмы, используемые в финансовом секторе для выявления мошенничества. Группы реагирования на инциденты (IRT) могут отслеживать случаи злоупотреблений и заблаговременно выявлять различные модели преступного поведения. 

Пользователям рекомендуется использовать шифрование «точка-точка» в своих голосовых приложениях и отключать GSM (т.е. 2G) на своих смартфонах, если это возможно.

Перехват SMS

Стремясь повысить безопасность приложений, разработчики все чаще включают в свои проекты SMS-аутентификацию как надежный вариант регистрации и одноразовые SMS-пароли для подтверждения транзакций. Однако, поскольку SMS передаются по сети оператора открытым текстом, они уязвимы для перехвата и атак на понижение уровня.

Уровень защиты ядра телекоммуникационной сети зависит от того, как оператор связи воспринимает термин «домен безопасности». На практике опорная телекоммуникационная сеть обычно представляет собой только один домен безопасности, поэтому данные в ней защищены только снаружи, но не изнутри. В результате хакер или инсайдер может перехватить SMS или заставить оборудование перейти с 4G/5G на менее защищенный 2G.

Дополнительный риск создает использование SMS в качестве резервного канала для управления удаленными операционно-технологическими (ОТ) системами, например, промышленными маршрутизаторами и сотовыми устройствами, которые поддерживают передачу команд по воздуху (OTA). Эти системы могут находиться в отдаленных районах, где имеется покрытие только GSM, что делает их более уязвимыми к перехвату SMS.

Рекомендация

Вместо SMS разработчикам следует рассмотреть другие способы аутентификации, например, OTP-аутентификаторы в виде мобильных приложений или push-уведомления на смартфон.

Подмена номера

Подмена номера абонента (CLID) в целом является вполне законным действием, которое выполняется в соответствии со стандартами. Она может использоваться, например, для того чтобы вместо реального исходящего номера центра обработки вызовов абонент видел номер горячей линии 8-800, на который может перезвонить. 

Однако, подмена номера также активно используется преступниками для атак на граждан. Например, в России в 2020-2021 годах злоумышленники массово обзванивают клиентов Сбербанка, выдавая себя за различные подразделения кредитного учреждения и выманивая данные банковских карт или коды подтверждения переводов. Подобные атаки используют доверие граждан к номерам известных организаций.

В других сценариях клиент получает звонок или текстовое сообщение от своего банка, в котором его заманивают на фишинговый ресурс и просят сообщить свои учетные данные для входа в онлайн-банк и другую конфиденциальную информацию. К другим сценариям атак также относятся:

• звонки от имени правоохранительных органов и правительственных учреждений;
• звонки с номеров, которые абоненты-чиновники идентифицируют как принадлежащие другим чиновникам, но на самом деле принадлежат пранкерам;
• использование номера клиента для аутентификации звонков в организации.

Подобные атаки наблюдались в 2020 году в Австралии и Сингапуре. 

Рекомендация

Пользователи и организации должны дополнительно проверять происхождение входящих звонков и текстовых сообщений в рамках многоуровневой стратегии защиты. Также рекомендуется расширить возможности существующих процессов, используя такие данные, как журналы телекоммуникаций, которые позволяют выявить происхождение текстовых сообщений или звонков.

TDoS-вымогательство

По сравнению с количественной моделью отказа в обслуживании (DoS), который встречается в ИТ-отрасли, когда система перегружается чрезмерным объемом трафика, отказ в обслуживании телефонии (TDoS) — это качественная модель DoS, при которой услуга «отключается» для целевого законного пользователя. 

Преступники злоупотребляют существующими бизнес-процессами телекоммуникационных компаний по борьбе с мошенничеством, чтобы создать сценарий, в котором телефонный номер и SIM-карта предполагаемой жертвы будут выглядеть как принадлежащие мошеннику. Затем телекоммуникационная компания блокирует номер и SIM-карту жертвы и отслеживает их как источники потенциального мошенничества. В результате жертве, скорее всего, придется лично явиться в офис телекоммуникационной компании для восстановления доступа к услугам.

Такой вариант DoS можно рассматривать как «черную метку», которую помещают на жертву для ее блокировки. Подобные сценарии атак предполагают нахождение злоумышленника в зоне действия SIM-карты и телефонного номера жертвы, чтобы телекоммуникационная компания могла отследить их как источник мошенничества, а жертва в дальнейшем рассматривалась как очень подозрительная. 

Примечательно, что жертва может полностью лишиться возможности подключиться к линии связи и не иметь возможности позвонить. Злоумышленники же будут использовать эту ситуацию для вымогательства, сообщив жертве, что восстановят услуги после выполнения каких-либо требований. Именно такой сценарий атаки был реализован на ряде островов Тихого океана, когда преступники полностью заблокировали их жителям доступ к спутниковой связи — единственному каналу общения с «большим миром».

Рекомендация

Для частных клиентов и организаций разумным способом снизить риски TDoS-атак будет выстраивание взаимоотношений со своим менеджером в телеком-компании. Это позволит в значительной мере обойти недостатки процедур восстановления подключения к услугам связи. Также было бы целесообразно иметь альтернативные средства связи с таким контактным лицом.

«Китобойный промысел» с помощью SIM-джекинга

Китобойный промысел (Whaling) — это разновидность фишинга, при котором в качестве жертв выступают наиболее крупные «обитатели моря», киты — VIP-персоны, среди которых могут быть журналисты, политики, руководители компаний, знаменитости, спортсмены. 

SIMjacking — атака с использованием подмены SIM-карты — перенаправляет трафик сотового телефона целевого «кита» на злоумышленника. Это позволяет ему звонить или отправлять сообщения другим сотрудникам, реализуя кампанию по компрометации переписки (BEC), а также перехватывать коды многофакторной аутентификации (MFA) на основе SMS или авторизации банковских переводов компании.

Рекомендация

Использование SMS для аутентификации и подтверждения операций крайне ненадежно. Мы рекомендуем применять решения, не основанные на SMS, например, приложения-аутентификаторы. VIP-клиенты также могут использовать систему управления идентификацией и активами (IAM) и пересмотреть контроль IAM, осуществляемый персоналом телекоммуникационных компаний.

Интеграция телекоммуникационной инфраструктуры является тенденцией для всех критически важных отраслей. Она, несомненно, продолжится с учетом возможностей, которые открывает экосистема 5G и ее развитие в плане технологий финансов и поверхностей атак. В связи с этим ИТ-отделы и службы безопасности должны отслеживать изменения в перечне рисков для ИТ-активов, а также различия в концепциях, оборудовании и навыках для борьбы с такими рисками. 

При выборе инструментов для повышения уровня безопасности необходимо учитывать зависимости и уязвимости, возникающие в результате применения новых технологий и разработок.