چرا احراز هویت دومرحله‌ای از طریق پیامک (SMS)به تنهایی امن نیست؟

چهارشنبه 96/3/03، تهران , (اخبار رسمی): هکرها می توانند پیام‌های در حال ارسال بانک ها را ره‌گیری کنند و از کدهای تایید برای به دست آوردن دسترسی کامل به حساب کاربری شخص استفاده کنند.

وجود تروجان‌ها را در ازدست‌دادن پول‌های خود دست کم نگیرید و یک راهکار امنیتی قوی برای خود در نظر بگیرید.

اغلب در پاسخ این پرسش که آیا واقعا به آنتی‌ویروس نیاز دارید؟ پاسخ‌هایی شبیه آنچه در زیر آمده‌است،می‌شنویم:

- من هیچ نیازی به آنتی‌ویروس ندارم! تا به حال هیچ وقت برایم پیش نیامده که مجرمان من را مورد هدف قرار بدهند. ویروس‌ها؟ باج‌‌افزار؟ هرگز به سمت من نمی‌آیند. در صورتی که مورد حمله آن‌ها قرار بگیرم سیستم عامل خود را مجدد نصب می‌کنم چون هیچ چیزی برای از دست دادن ندارم و چیز باارزشی روی سیستم کامپیوتر من نصب نیست.

 - اما شما حساب بانکی دارید، اینطور نیست؟ شما خریدهای آن‌لاین انجام می‌دهید، درست است؟

- بله،بانک‌ها سیستم احراز هویت دومرحله‌ای دارند. آن‌ها از من محافظت می‌کنند. حتی اگر هکرها کارت مرا به سرقت ببرند، قادر به برداشت پول از حساب من نخواهند بود.

خب کاملا واضح است که آن‌ها می‌توانند این کار را انجام دهند. اول این‌که تمام فروشگاه‌های آنل‌این از حفاظت امن 3D استفاده نمی‌کنند، این به این معنی است که همه معاملات بانکی به کد تاییدیه که در قالب پیامک، ارسال می‌شود نیاز ندارند. حتی هیچ تضمینی برای سرقت CVV که روی کارت نوشته شده است هم وجود ندارد.

ثانیا هکرها می‌توانند پیام‌های در‌حال‌ارسال بانک‌ها را رهگیری کنند و از کدهای تایید برای به دست آوردن دسترسی کامل به حساب کاربری شخص استفاده کنند. به تازگی مبلغ قابل توجهی از حساب عده‌ای در آلمان از همین طریق به سرقت رفته است. اجازه دهید نگاهی دقیق‌تر به نحوه این سرقت بیندازیم.

SS7: یک حفره در تلفن

رهگیری پبام‌های تلفن همراه ممکن است به دلیل آسیب‌پذیری باشد که در مجموعه پروتکل‌های سیگنالی SS7 وجود دارد. این پروتکل‌های سیگنالینگ، ستون فقرات سیستم‌های ارتباطات تلفن‌های معاصر هستند. آن‌ها برای انتقال تمام اطلاعات در شبکه تلفن طراحی شده‌اند. بد نیست بدانید استاندارد SS7 در راه‌اندازی و مدیریت ارتباطات برای یک تماس، قطع ارتباط پس از پایان تماس، مدیریت انتقال تماس، نمایش نام شخص تماس‌گیرنده، نمایش شماره تماس گیرنده، تماس سه طرفه، خدمات شبکه هوشمند (IN)، صدور صورت حساب، تماس‌‌های تلفنی رایگان، خدمات تلفنی بی‌سیم همانند خدمات تلفنی باسیم مانند احراز هویت مشترکان تلفن همراه، خدمات ارتباطات شخصی (PCS) و رومینگ کاربرد دارد.

مجرم از طریق SS7 می‌تواند مکالمات را استراق سمع کند، محل کاربر را تعیین و پیامک‌ها را رهگیری کند. بنابراین جای تعجب ندارد که در بسیاری از کشورها دسترسی به SS7 غیر مجاز است.

حمله چگونه اتفاق می‌افتد؟

 حمله اخیر در آلمان به این گونه بود که:

1) کامپیوترهای کاربران توسط یک تروجان بانکی آلوده شده بودند. در این زمان آلوده کردن افرادی که از راهکارهای امنیتی استفاده نمی‌کردند بسیار راحت بود. مجرمان می‌توانستند بدون هیچ نشانه‌ای به آلوده کردن بپردازند و کاربران هم از این موضوع بی‌خبر بمانند. با استفاده از تروجان، هکرها لوگین و پسورد بسیاری از کاربران را به سرقت بردند (البته تنها سرقت اعتبار بانکی کافی نبود و در بسیاری از موارد کد تایید بانک که از طریق پیامک از طرف بانک ارسال شده بود هم نیاز بود)

2) ظاهرا همان تروجان برای سرقت شماره تلفن کاربران هم استفاده شده بود. این داده ها در زمانی که کاربران خریدهای آن‌لاین انجام می‌دهند درخواست می‌شود و سرقت آن‌ها برای مجرمان کار چندان سختی هم نیست. بنابراین، مجرمان هم به حساب‌های بانکی کاربران و هم به شماره تلفن همراه آن‌ها دسترسی داشتند.

3) مجرمان با استفاده از سرقت لوگین بانک، شروع به انتقال پول به حساب بانکی خود کردند. پس از آن، با دسترسی به SS7 پیام هایی که به قربانیان ارسال می شد را به تلفن های خود فوروارد می کردند تا بتوانند خود به تنهایی کد های تاییدیه بانک را دریافت کنند. به همین خاطر هم بود که بانک هیچ دلیلی برای مشکوک شدن به آن ها نداشت.

محققان حوزه امنیت در آلمان این حمله را تایید کردند و حامل های خارجی که به شبکه ی SS7 دسترسی داشتند و برای این حمله مورد استفاد قرار گرفته بودند مسدود شدند و افراد آلوده را از این موضوع باخبر ساختند. هنوز مشخص نیست که قربانیان توانسته‌اند به پول‌های خود دست یابند یا خیر.

آیا هنوز هم بر این باور هستید که به آنتی‌ویروس نیازی نیست؟

احراز هویت دومرحله ای معمولا به عنوان یک راهکار امنیتی در نظر گرفته می‌شود، اما این راه در صورتی‌که کسی به تلفن شما دسترسی نداشته باشد کارآمد است. در صورتی‌که دسترسی تلفن شما از کنترل شما خارج شود چطور؟! این طور که مشخص است دسترسی به SS7 کار راحتی است و مجرمان می‌توانند با دسترسی به پیامک‌های شما به پول‌های داخل حساب شما دست یابند.

اما برای امنیت بیشتر احراز هویت دومرحله‌ای و محافظت در برابر حملات مشابه در این پست چه کاری را می توان انجام داد؟

دو راه موثر وجود دارد:

پیامک تنها راه برای احراز هویت دومرحله‌ای نیست. مشاهده کنید اگر که بانک شما از دیگر راه‌ها همانند اپلیکیشن‌های Google Authenticator و کلیدهای USB رمزنگاری شده پشتیبانی می‌کند، این راه‌کارهای امنیتی را برای امنیت بیشتر پول‌های خود در نظر بگیرید.
 از یک راهکار امنیتی قابل اعتماد برای تمام دستگاه‌های خود استفاده کنید. متاسفانه تمام بانک‌ها از راه‌های جایگزین احراز هویت دو‌مرحله‌ای  استفاده نمی‌کنند. برخی از آن‌ها کد را تنها با پیامک ارسال می‌کنند و تنها امید شما می‌تواند به یک راهکار امنیتی مطمئن و قابل اعتماد باشد. در این پست در وهله اول حضور مهم یک تروجان را در حمله مشاهده کردیم که اگرسیستم اجازه ورود تروجان را به سیستم ندهد، ورود به سیستم بانکی هم مسلما اتفاق نخواهد افتاد. بنابراین وجود تروجان‌ها را در ازدست‌دادن پول‌های خود دست کم نگیرید و یک راهکار امنیتی قوی برای خود در نظر بگیرید.

### پایان خبر رسمی