چرا امنیت احراز هویت دو مرحله ای از طریق اس.ام.اس به تنهایی کافی نیست؟

به گزارش ایتنا از کسپرسکی آنلاین، اغلب در پاسخ سوال “آیا شما واقعا به آنتی ویروس نیاز دارید” چیزهایی شبیه زیر می شنویم:
– من هیچ نیازی به آنتی‌ویروس ندارم! تا به حال هیچ وقت برایم پیش نیامده که مجرمان من را مورد هدف قرار بدهند. ویروس‌ها؟ باج‌افزار؟ هرگز به سمت من نمی‌آیند. در صورتی که مورد حمله آنها قرار بگیرم سیستم عامل خود را مجدد نصب می کنم چون هیچ چیزی برای از دست دادن ندارم و چیز با ارزشی روی سیستم کامپیوتر من نصب نیست.
– اما شما حساب بانکی دارید، اینطور نیست؟ شما خریدهای آنلاین انجام می‌دهید، درست است؟
– بله، بانک‌ها سیستم احراز هویت دو مرحله‌ای دارند. آنها از من محافظت می‌کنند. حتی اگر هکرها کارت مرا به سرقت ببرند، آنها قادر به برداشت پول از حساب من نخواهند بود.
خب کاملا واضح است که آن ها می توانند این کار را انجام دهند. اول اینکه تمام فروشگاه های آنلاین از حفاظت امن 3D استفاده نمی‌کنند، این بدان معنی است که همه ی معاملات بانکی به کد تاییدیه که در غالب مسیج ارسال می شود نیاز ندارند. حتی هیچ تضمینی برای سرقت CVV که بر روی کارت نوشته شده است هم وجود ندارد.

ثانیا هکرها می‌توانند مسیج‌های در حال ارسال بانک ها را رهگیری کنند و از کدهای تایید برای بدست آوردن دسترسی کامل به حساب کاربری شخص استفاده کنند. به تازگی مبلغ قابل توجهی از مصرف کنندگان بدشانس در آلمان از همین طریق به سرقت رفته بود. اجازه دهید نگاهی دقیق‌تر به نحوه ی رویداد آن بیندازیم:

SS۷: یک حفره در تلفن

رهگیری مسیج‌های تلفن همراه ممکن است به دلیل آسیب پذیری باشد که در مجموعه پروتکل های سیگنالی SS۷ وجود دارد. این پروتکل‌های سیگنالینگ، ستون فقرات سیستم‌های ارتباطات تلفن‌های معاصر هستند. آنها برای انتقال تمام اطلاعات در شبکه ی تلفن طراحی شده‌اند.
بد نیست که بدانید استاندارد SS۷ در راه‌اندازی و مدیریت ارتباطات برای یک تماس، قطع ارتباط پس از پایان تماس، مدیریت انتقال تماس، نمایش نام شخص تماس گیرنده، نمایش شماره تماس گیرنده، تماس سه طرفه، خدمات شبکه هوشمند (IN)، صدور صورت حساب، تماس‌های تلفنی رایگان، خدمات تلفنی بی‌سیم همانند خدمات تلفنی با سیم مانند احراز هویت مشترکان تلفن همراه، خدمات ارتباطات شخصی (PCS) و رومینگ کاربرد دارد.

مجرم از طریق SS۷ می‌تواند مکالمات را استراق سمع کند، محل کاربر را تعیین کند و پیام‌های اس.ام.اس را رهگیری کند. بنابراین جای تعجب ندارد که در بسیاری از کشورها دسترسی به SS۷ غیر مجاز است.

حمله چگونه اتفاق می‌افتد؟
در مورد حمله اخیرا آلمان به این گونه بود که:
۱. کامپیوترهای کاربران توسط یک تروجان بانکی آلوده شده بودند. در این زمان آلوده کردن افرادی که از راهکارهای امنیتی استفاده نمی‌کردند بسیار راحت بود. مجرمان می‌توانستند بدون هیچ نشانه‌ای به آلوده کردن بپردازند و کاربران هم از این موضوع بی‌خبر بمانند.

با استفاده از تروجان، هکرها لوگین و پسورد بسیاری از کاربران را به سرقت بردند (البته تنها سرقت اعتبار بانکی کافی نبود و در بسیاری از موارد کد تایید بانک که از طریق اس.ام.اس از جانب بانک ارسال شده بود هم نیاز بود).

۲. ظاهرا همان تروجان برای سرقت شماره تلفن کاربران هم استفاده شده بود. این داده‌ها در زمانی که کاربران خرید های آنلاین انجام می‌دهند درخواست می‌شود و سرقت آنها برای مجرمان کار چندان سختی هم نیست. بنابراین، مجرمان هم به حساب‌های بانکی کاربران و هم به شماره تلفن همراه آنها دسترسی داشتند.

۳. مجرمان با استفاده از سرقت لوگین بانک، شروع به انتقال پول به حساب بانکی خود کردند. پس از آن، با دسترسی به SS۷ پیام هایی که به قربانیان ارسال می شد را به تلفن‌های خود فوروارد می‌کردند تا بتوانند خود به تنهایی کد‌های تاییدیه بانک را دریافت کنند. به همین خاطر هم بود که بانک هیچ دلیلی برای مشکوک شدن به آنها نداشت.

محققان حوزه امنیت درآلمان این حمله را تایید کردند و حامل‌های خارجی که به شبکه SS۷ دسترسی داشتند و برای این حمله مورد استفاد قرار گرفته بودند مسدود و افراد آلوده را از این موضوع با خبر ساختند. هنوز مشخص نیست که قربانیان توانسته اند به پول‌های خود دست یابند یا خیر.

آیا هنوز هم بر این باور هستید که به آنتی‌ویروس نیازی نیست؟
احراز هویت دو مرحله‌ای معمولا به عنوان یک راهکار امنیتی در نظر گرفته می‌شود، اما این راه در صورتیکه کسی به تلفن شما دسترسی نداشته باشد کارآمد است، در صورتیکه دسترسی تلفن شما از کنترل شما خارج شود چطور؟! این طور که مشخص است دسترسی به SS۷ کار راحتی است و مجرمان می توانند با دسترسی به مسیج های شما به پول های داخل حساب شما دست یابند.
اما برای امنیت بیشتر احراز هویت دو مرحله‌ای و محافظت در برابر حملات مشابه در این پست چه کاری را می‌توان انجام داد؟

در راه موثر وجود دارد:
• اس.ام.اس تنها راه برای احراز هویت دو مرحله‌ای نیست. مشاهده کنید اگر که بانک شما از دیگر راه‌ها همانند اپلیکیشن‌های Google Authenticator و کلیدهای USB رمزنگاری شده پشتیبانی می‌کند، این راهکارهای امنیتی را برای امنیت بیشتر پول های خود در نظر بگیرید.

• از یک راهکار امنیتی قابل اعتماد برای تمامی دستگاه‌های خود استفاده کنید. متاسفانه تمامی بانک‌ها از دیگر راه های برای جایگزین احراز هویت دو مرحله‌ای استفاده نمی‌کنند، برخی از آنها کد را تنها با مسیج ارسال می‌کنند و تنها امید شما می‌تواند به یک راهکار امنیتی مطمئن و قابل اعتماد باشد. در این پست در وهله ی اول حضور مهم یک تروجان را در حمله مشاهده کردیم که اگرسیستم اجازه ورود تروجان را به سیستم ندهد، ورود به سیستم بانکی هم مسلما اتفاق نخواهد افتاد. بنابراین وجود تروجان‌ها را در از دست دادن پول‌های خود دست کم نگیرید و یک راهکار امنیتی قوی برای خود در نظر بگیرید.


منبع : ایتنا

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

خدمات پس از فروش