В начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи (его название и страна действия не уточнялись). Подключение к нему позволяет перехватить контроль над системой сигнализации SS7, управляющей трафиком операторов мобильной связи. Об этом рассказали в компании DeviceLock, которая занимается борьбой с утечками данных. Доступ продавался за $30 тыс. в биткоинах. С его помощью мошенники смогут перехватывать звонки и SMS всех операторов, с которыми у владельца коммутатора есть соглашение о роуминге.
По словам экспертов, уязвимый оператор с большой вероятностью имеет договор о сотрудничестве (фактически - о роуминге) с одним или несколькими российскими провайдерами сотовых услуг, а такое соглашение есть практически у каждого оператора мобильной связи. Наибольший интерес к этому предложению проявляли русскоговорящие злоумышленники, специализирующиеся на атаках на онлайн-счета. Кроме того, благодаря активному распространению онлайн-банкинга и относительно высоким остаткам на счетах Россия всегда была наиболее желанной целью для интернет-мошенников на постсоветском пространстве.
Атаки на систему сигнализации SS7 используются в первую очередь для перехвата авторизационных SMS-сообщений кредитных организаций, почтовых сервисов и электронных кошельков. С их помощью злоумышленники затем могут войти в личный кабинет банка и воспользоваться деньгами потенциальной жертвы.Как ожидается, атаке могут подвергнуться несколько сотен владельцев счетов с наибольшими остатками и подключенным онлайн-банкингом, данные о которых уже собраны или будут получены путем "пробива" клиентов. Поскольку на подготовку нападения такого типа злоумышленникам обычно нужно от двух недель до месяца, оно может быть приурочено к майским праздникам, когда большинство россиян ослабят контроль над своими счетами.
В "Лаборатории Касперского", а также в BI.ZONE, который входит в экосистему "Сбера", уточнили, что с помощью уязвимости у преступников появится доступ к каналам российских операторов, поскольку для обеспечения коммуникации за границей провайдерам связи необходимо сотрудничать с локальными игроками. В пользу хакеров может сыграть тот факт, что при разработке стандарта SS7 безопасность не ставилась во главу угла.
В сентябре прошлого года нападения с перехватом SMS для авторизации осуществлялись в отношении пользователей Telegram, в 2017 году таким же образом были атакованы банки в Германии, а в 2019 году - британский Metro Bank. Злоумышленники обходили двухфакторную идентификацию и получали доступ к аккаунтам жертв, после чего опустошали счета. В целом атаки на SS7 могут привести к компрометации аккаунтов в сервисах, на которых используется только авторизация по коду из SMS, а также для обхода второго фактора подтверждения, если злоумышленник обладает паролем от аккаунта жертвы. Это могут быть банки, мессенджеры и соцсети. Для простейшей атаки злоумышленникам необходимо знать данные карт жертв, которые периодически "утекают" из интернет-магазинов или кредитных организаций.
Другие эксперты пояснили, что организация такого преступления стоит очень дорого, поэтому оно имеет смысл только в крупных масштабах. При этом всплеск активности достаточно быстро будет замечен системами банков, и злоумышленники будут вынуждены прекратить свою деятельность. Не исключено, что мошенники будут действовать аккуратнее, получая доступ к десяткам счетов в день: такая активность будет мало заметна и позволит им оставаться в сети гораздо дольше.
Эксперты отмечают, что защита от атак через перехват SMS полностью лежит на сотовых операторах, и советуют клиентам переключить двухфакторную защиту критических сервисов на push-уведомления вместо SMS или использовать специальные приложения-аутентификаторы, генерирующие одноразовые коды непосредственно на самом устройстве, а также установить лимиты на переводы и запрет операций за рубежом. Представители банка ВТБ заявили, что им известно о рисках такой атаки, но уточнили, что для входа в интернет-банк, помимо кода подтверждения, необходимы логин и пароль от интернет-банка. Представители сотовых операторов не ответили на запросы о рисках атаки через стандарт SS7.
В феврале прошлого года Генпрокуратура подготовила концепцию спецресурса для сбора от граждан информации о кибермошенничествах в финансовой среде. Авторы концепции ссылаются на данные ВЦИОМа, согласно которым каждый третий человек в России сталкивался с кибермошенничеством, а 9% граждан понесли реальный ущерб. Несмотря на это, в России до сих пор нет механизма подачи гражданами сообщений о правонарушениях в киберпространстве. Также в стране нет единой структуры, которая занималась бы оперативной работой с гражданами по поводу киберинцидентов.
По замыслу авторов, спецресурс для сбора обращений должен быть разработан в рамках Единого портала госуслуг силами созданной при Генпрокуратуре автономной некоммерческой организации (АНО). Эта организация также должна обеспечить сбор, хранение и систематизацию информации, полученной от граждан. Предполагается, что эта структура будет взаимодействовать с другими структурами в сфере кибербезопасности, создаст общедоступный черный список фишинговых и мошеннических ресурсов.
По мнению эксперта по информационной безопасности Cisco Алексея Лукацкого, для того, чтобы будущий сайт стал действительно полезен, потребуется изменить законодательство по работе с гражданами, уточнить составы преступлений и правонарушений, а также назначить орган, который бы не только распределял жалобы по другим структурам, но и проводил разъяснительную работу среди населения. Он уточнил, что многие правонарушения в интернете не образуют признаков преступления, которые позволяют отнести их к компетенции какого-либо из правоохранительных органов или ЦБ. А невысокая юридическая и техническая грамотность граждан ведет к тому, что сведения, представляемые об интернет-правонарушениях, неполны, неточны и недостаточны для расследования: сейчас до суда доходит не более 7% дел о киберпреступлениях.