اخبار فناوری اطلاعات
چرا امنیت احراز هویت دو مرحله ای از طریق اس.ام.اس به تنهایی کافی نیست؟
به گزارش ایتنا از کسپرسکی آنلاین، اغلب در پاسخ سوال “آیا شما واقعا به آنتی ویروس نیاز دارید” چیزهایی شبیه زیر می شنویم:
– من هیچ نیازی به آنتیویروس ندارم! تا به حال هیچ وقت برایم پیش نیامده که مجرمان من را مورد هدف قرار بدهند. ویروسها؟ باجافزار؟ هرگز به سمت من نمیآیند. در صورتی که مورد حمله آنها قرار بگیرم سیستم عامل خود را مجدد نصب می کنم چون هیچ چیزی برای از دست دادن ندارم و چیز با ارزشی روی سیستم کامپیوتر من نصب نیست.
– اما شما حساب بانکی دارید، اینطور نیست؟ شما خریدهای آنلاین انجام میدهید، درست است؟
– بله، بانکها سیستم احراز هویت دو مرحلهای دارند. آنها از من محافظت میکنند. حتی اگر هکرها کارت مرا به سرقت ببرند، آنها قادر به برداشت پول از حساب من نخواهند بود.
خب کاملا واضح است که آن ها می توانند این کار را انجام دهند. اول اینکه تمام فروشگاه های آنلاین از حفاظت امن 3D استفاده نمیکنند، این بدان معنی است که همه ی معاملات بانکی به کد تاییدیه که در غالب مسیج ارسال می شود نیاز ندارند. حتی هیچ تضمینی برای سرقت CVV که بر روی کارت نوشته شده است هم وجود ندارد.
ثانیا هکرها میتوانند مسیجهای در حال ارسال بانک ها را رهگیری کنند و از کدهای تایید برای بدست آوردن دسترسی کامل به حساب کاربری شخص استفاده کنند. به تازگی مبلغ قابل توجهی از مصرف کنندگان بدشانس در آلمان از همین طریق به سرقت رفته بود. اجازه دهید نگاهی دقیقتر به نحوه ی رویداد آن بیندازیم:
SS۷: یک حفره در تلفن
رهگیری مسیجهای تلفن همراه ممکن است به دلیل آسیب پذیری باشد که در مجموعه پروتکل های سیگنالی SS۷ وجود دارد. این پروتکلهای سیگنالینگ، ستون فقرات سیستمهای ارتباطات تلفنهای معاصر هستند. آنها برای انتقال تمام اطلاعات در شبکه ی تلفن طراحی شدهاند.
بد نیست که بدانید استاندارد SS۷ در راهاندازی و مدیریت ارتباطات برای یک تماس، قطع ارتباط پس از پایان تماس، مدیریت انتقال تماس، نمایش نام شخص تماس گیرنده، نمایش شماره تماس گیرنده، تماس سه طرفه، خدمات شبکه هوشمند (IN)، صدور صورت حساب، تماسهای تلفنی رایگان، خدمات تلفنی بیسیم همانند خدمات تلفنی با سیم مانند احراز هویت مشترکان تلفن همراه، خدمات ارتباطات شخصی (PCS) و رومینگ کاربرد دارد.
مجرم از طریق SS۷ میتواند مکالمات را استراق سمع کند، محل کاربر را تعیین کند و پیامهای اس.ام.اس را رهگیری کند. بنابراین جای تعجب ندارد که در بسیاری از کشورها دسترسی به SS۷ غیر مجاز است.
حمله چگونه اتفاق میافتد؟
در مورد حمله اخیرا آلمان به این گونه بود که:
۱. کامپیوترهای کاربران توسط یک تروجان بانکی آلوده شده بودند. در این زمان آلوده کردن افرادی که از راهکارهای امنیتی استفاده نمیکردند بسیار راحت بود. مجرمان میتوانستند بدون هیچ نشانهای به آلوده کردن بپردازند و کاربران هم از این موضوع بیخبر بمانند.
با استفاده از تروجان، هکرها لوگین و پسورد بسیاری از کاربران را به سرقت بردند (البته تنها سرقت اعتبار بانکی کافی نبود و در بسیاری از موارد کد تایید بانک که از طریق اس.ام.اس از جانب بانک ارسال شده بود هم نیاز بود).
۲. ظاهرا همان تروجان برای سرقت شماره تلفن کاربران هم استفاده شده بود. این دادهها در زمانی که کاربران خرید های آنلاین انجام میدهند درخواست میشود و سرقت آنها برای مجرمان کار چندان سختی هم نیست. بنابراین، مجرمان هم به حسابهای بانکی کاربران و هم به شماره تلفن همراه آنها دسترسی داشتند.
۳. مجرمان با استفاده از سرقت لوگین بانک، شروع به انتقال پول به حساب بانکی خود کردند. پس از آن، با دسترسی به SS۷ پیام هایی که به قربانیان ارسال می شد را به تلفنهای خود فوروارد میکردند تا بتوانند خود به تنهایی کدهای تاییدیه بانک را دریافت کنند. به همین خاطر هم بود که بانک هیچ دلیلی برای مشکوک شدن به آنها نداشت.
محققان حوزه امنیت درآلمان این حمله را تایید کردند و حاملهای خارجی که به شبکه SS۷ دسترسی داشتند و برای این حمله مورد استفاد قرار گرفته بودند مسدود و افراد آلوده را از این موضوع با خبر ساختند. هنوز مشخص نیست که قربانیان توانسته اند به پولهای خود دست یابند یا خیر.
آیا هنوز هم بر این باور هستید که به آنتیویروس نیازی نیست؟
احراز هویت دو مرحلهای معمولا به عنوان یک راهکار امنیتی در نظر گرفته میشود، اما این راه در صورتیکه کسی به تلفن شما دسترسی نداشته باشد کارآمد است، در صورتیکه دسترسی تلفن شما از کنترل شما خارج شود چطور؟! این طور که مشخص است دسترسی به SS۷ کار راحتی است و مجرمان می توانند با دسترسی به مسیج های شما به پول های داخل حساب شما دست یابند.
اما برای امنیت بیشتر احراز هویت دو مرحلهای و محافظت در برابر حملات مشابه در این پست چه کاری را میتوان انجام داد؟
در راه موثر وجود دارد:
• اس.ام.اس تنها راه برای احراز هویت دو مرحلهای نیست. مشاهده کنید اگر که بانک شما از دیگر راهها همانند اپلیکیشنهای Google Authenticator و کلیدهای USB رمزنگاری شده پشتیبانی میکند، این راهکارهای امنیتی را برای امنیت بیشتر پول های خود در نظر بگیرید.
• از یک راهکار امنیتی قابل اعتماد برای تمامی دستگاههای خود استفاده کنید. متاسفانه تمامی بانکها از دیگر راه های برای جایگزین احراز هویت دو مرحلهای استفاده نمیکنند، برخی از آنها کد را تنها با مسیج ارسال میکنند و تنها امید شما میتواند به یک راهکار امنیتی مطمئن و قابل اعتماد باشد. در این پست در وهله ی اول حضور مهم یک تروجان را در حمله مشاهده کردیم که اگرسیستم اجازه ورود تروجان را به سیستم ندهد، ورود به سیستم بانکی هم مسلما اتفاق نخواهد افتاد. بنابراین وجود تروجانها را در از دست دادن پولهای خود دست کم نگیرید و یک راهکار امنیتی قوی برای خود در نظر بگیرید.
منبع : ایتنا