Хакеры обнаружили, что один из центральных элементов онлайн-безопасности – номер мобильного телефона – легче всего украсть.

В постоянно растущем числе атак хакеры звонили провайдерам и просили передать контроль над номером жертвы на устройство, находящееся в их руках. Как только они получали контроль над номером, они могли сбросить пароль любой учётной записи, которая использовала этот номер для восстановления доступа к услугам.

«Мой «Айпед» перезагрузился, мой телефон перезагрузился и мой компьютер перезагрузился, и вот тогда меня пробил холодный пот, и я подумал: «Так, это серьёзно», – сказал Крис Бёрниск, инвестор в виртуальную валюту, который потерял контроль над своим номером телефона в прошлом году.

Большое число людей жаловалось, что они были успешно атакованы подобным образом. Среди них были активист движения «Чёрные жизни имеют значение» и главный технолог Федеральной комиссии по торговле. Собственные данные комиссии показывают, что число так называемых телефонных взломов растёт. В январе 2013 года было зафиксировано 1 038 таких случаев. К январю 2016 это число увеличилось до 2 658. Но отдельная концентрированная волна атак была проведена на владельцев полных счетов: фанатиков виртуальных валют типа Бёрниска.

В течение минут после перехвата его номера хакеры поменяли пароль от его электронного кошелька и слили его содержимое – около 150 000 долларов по тогдашнему курсу.

Большинство жертв этих атак из среды владельцев виртуальных валют не хотели признавать потерь публично, опасаясь спровоцировать новых воров. Но в интервью десятки известных людей из этой области признавали, что стали жертвами в прошлые месяцы.

«У всех, кого я знаю в мире криптовалют, украли телефонные номера», – сказал Джоби Уикс, предприниматель, работающий с «Биткойном».

Уикс потерял свой номер и около миллиона долларов в виртуальной валюте в конце прошлого года, хотя и просил своего мобильного оператора о дополнительной защите после того как у его жены и родителей увели номера телефонов.

Хакеры похоже фокусируют свои усилия на всех, кто говорит в соцсетях о наличии виртуальной валюты или о ком известно, что они инвестировали в компании, выпускающие виртуальную валюту, например, на венчурных капиталистах. А операции в виртуальной валюте в принципе невозможно отменить.

Счета в банках, брокерских фирмах и тому подобных организациях не так подвержены таким атакам, потому что эти организации обычно могут отменить непреднамеренные или неавторизованные операции если их заметили в течение нескольких дней. Но атаки обнаружили уязвимость, которую можно использовать почти против каждого, у кого есть ценные электронные письма или другие файлы, включая политиков, активистов и журналистов.

В прошлом году хакеры завладели «Твиттером» ДеРея МакКессона, лидера движения «Чёрные жизни имеют значение», сначала получив его номер телефона.

В ряде случаев с участием владельцев виртуальных денег хакеры использовали для вымогательства электронные письма, угрожая опубликовать в одном случае фото обнажённого владельца и подробности о сексуальных игрушках жертвы в другом.

Уязвимость даже опытных программистов и экспертов по компьютерной безопасности создаёт неслыханный прецедент, когда хакеры атакуют менее опытных в техническом плане людей. Эксперты беспокоятся что такие типы атак получат большое распространение если мобильные операторы не произведут значительные изменения своих мер безопасности.

«Это явно показывает бесполезность использования любого вида защиты с использованием телефона», – сказал Майкл Перклин, старший специалист по информационной безопасности биржи виртуальных валют «Шейпшифт», множество сотрудников и клиентов которой были атакованы.

Мобильные операторы сказали, что принимают меры по предупреждению атак, давая возможность добавить более сложные персональные идентификационные номера для счетов наряду с иными способами защиты. Но этих мер оказалось недостаточно, чтобы предотвратить распространение и успех атак.

После первой волны атак с перехватом телефонов на сообщество владельцев виртуальных валют прошлой весной, их частота увеличилась, говорит Перклин наряду с другими экспертами. В нескольких недавних случаях хакеры продолжали управлять телефонными номерам даже когда жертвы знали, что их атаковали и предупредили телефонных операторов.

Адам Покорницки, управляющий партнёр фирмы «Крипточейн кэпитал», попросил оператора «Верайзон» принять дополнительные меры безопасности для защиты его номера после того как он узнал, что хакер звонил 13 раз, пытаясь перевести номер на новый аппарат. Но буквально на следующий день хакер убедил очередного агента службы поддержки сменить номер Покорницки без запроса нового пин-номера.

Пресс-секретарь «Верайзон» Ричард Янг сказал, что компания не комментирует отдельные случаи, но перенос телефонов у них не является обычной практикой

«Хотя мы и делаем всё возможное для обеспечения безопасности счетов клиентов, иногда бывают случаи, когда автоматические процессы или сотрудники делают ошибки, – сказал он. – Мы стремимся быстро исправлять эти проблемы и ищем дополнительные возможности чтобы улучшить защиту».

Перклин, который работал у канадского мобильного оператора прежде чем устроиться в «Шейпшифт», сказал, что многие телефонные компании делают отметки о запросе дополнительных мер безопасности в учётных данных клиентов. Но агенты действуют на своё усмотрение, добавил он, независимо от того, что указано в записях, и они попросту могут не заметить что там написано.

Уязвимость телефонных номеров — это непреднамеренное последствие широкого применения так называемой двухфакторной аутентификации, которая должна сделать учётные записи более надёжными. Многие операторы услуг электронной почты и финансовые фирмы требуют от клиентов привязать к их счетам номер телефона, чтобы установить их личность. Но эта система в целом позволяет любому владеющему телефоном владельца сбросить пароли к этим счетам не зная их. Хакер просто жмёт на «Забыли пароль?» и получает код на перехваченный телефон.

Покорницки был в сети в тот момент, когда его телефон перехватили и он наблюдал, как хакеры завладели всеми его главными счетами в течение нескольких минут.

«Было похоже, что они всё время были на шаг впереди меня», – сказал он.

Скорость с которой работали хакеры убедила людей, расследующих взломы, в том, что атаки проводятся группами хакеров, работающих сообща.

Дэнни Янг, основатель фирмы по защите виртуальной валюты «Блоксир», сказал, что он отследил несколько атак, которые были проведены с Филиппин, хотя другие атаки вели в Турцию и США.

Перклин и другие люди, которые расследовали недавние взломы, говорят, что нападавшие имели успех рассказывая слёзные истории о неотложных случаях, когда номер надо было перенести на другое устройство и звонили много раз пока не нападали на доверчивого агента.

«Эти ребята будут сидеть и звонить по 600 раз пока не дозвонятся до агента, который идиот», – сказал Уикс.

«Койнбэйс», один из широко используемых кошельков для «Биткойна», призывает клиентов отвязать свои мобильники от счетов. Но некоторые клиенты, которые потеряли деньги, говорят, что компаниям нужно предпринимать другие меры типа задержки проведения операций по счетам, пароли к которым недавно менялись.

«Койнбэйс» выглядит как банк, хранит миллионы долларов как банк, но вы не представляете насколько слаба у них защита по умолчанию пока у вас не украдут тысячи долларов за несколько минут», – сказал Коди Браун, разработчик в области виртуальной реальности, которого взломали в мае.

Браун написал широко разошедшееся сообщение о своём опыте, когда он потерял около 8 000 долларов в виртуальной валюте со своего счёта в «Койнбэйс», сидя в сети и наблюдая за этим и не получая ответа от служб поддержки ни «Койнбэйс», ни «Верайзон».

Пресс-секретарь «Койнбэйс» сказал, что компания «инвестировала значительные ресурсы в разработку внутренних средств для защиты наших клиентов от хакеров и перехватов счетов, включая случаи с использованием переноса телефонов».

Невозвратность переводов в системе «Биткойн» часто представлялась как одна из самых важных особенностей виртуальной валюты потому что это осложняло вмешательство банков и правительств в операции. Но Покорницки сказал, что сфера виртуальных валют должна извещать новых пользователей о дополнительном риске, который приходит с новыми технологиями.

«Круто контролировать свои деньги и делать вещи без всяких разрешений, – сказал он. – Но эта привилегия требует ясного понимания недостатков».

0

0