Το SMS δεν παρέχει ασφάλεια στις συναλλαγές
Μια αρκετά προσφιλής μέθοδος «ασφάλισης» ενός λογαριασμού (τραπεζικού, bitcoin, κ.α.) είναι η χρήση SMS κατά τη διενέργεια συναλλαγών ή ανάκτησης των κωδικών πρόσβασης. Κρίνω πως αυτή η μέθοδος παρέχει μια ψευδαίσθηση ασφάλειας και για αυτό δε θα πρέπει να χρησιμοποιείται.
Το πρόβλημα
Υπάρχουν διάφοροι τρόποι να μπορεί κάποιος τρίτος να λαμβάνει τα SMS που λαμβάνουμε ή/και άλλες πληροφορίες που σχετίζονται με τον τηλεφωνικό αριθμό μας ή/και συσκευή. Οποιαδήποτε υπηρεσία βασίζεται στη λήψη SMS (π.χ. SMS Extra Pin κι άλλες μορφές ελέγχου ταυτότητας δύο στοιχείων (2 Factor Authentication), είναι τόσο λίγο ασφαλής όσο και η χρήση SMS.
Sim cloning
Υπάρχουν συσκευές και software που μπορούν να κλωνοποιήσουν με πολύ μικρό κόστος μια κάρτα SIM. Η ευκολία αυτής της μεθόδου εξαρτάται κυρίως από το πόσα παλιά είναι κάρτα SIM που θα κλωνοποιηθεί. Όσο πιο παλιά τόσο πιο εύκολο. Η κλωνοποιημένη κάρτα λαμβάνει όλα τα SMS που λαμβάνει και η πρωτότυπη. Αρκεί ο επιτιθέμενος να αποκτήσει φυσική πρόσβαση στην κάρτα SIM για μερικά μόλις λεπτά.
Smartphones: Εφαρμογές/συσκευές παρακολούθησης
Στην περίπτωση των «έξυπνων» τηλεφώνων, το ζήτημα της ασφάλειας γίνεται ακόμη πιο σύνθετο. Ακριβώς επειδή το τηλέφωνο είναι «έξυπνο» έχει τη δυνατότητα να τρέχει διάφορες εφαρμογές και να συνδέεται με άλλες συσκευές, όπως π.χ. με ηλεκτρονικό υπολογιστή, τηλεόραση κλπ. Κάθε λογισμικό που εγκαθιστούμε στο τηλέφωνο και κάθε συσκευή με την οποία το συνδέουμε, μπορεί να αποτελέσει έναν σοβαρό κίνδυνο. Ακόμη κι ένας φαινομενικά ακίνδυνος φορτιστής, μπορεί να αποτελεί συσκευή παρακολούθησης. Υπάρχει πληθώρα τέτοιων συσκευών στο ebay κι αλλού, με χαμηλό κόστος.
Αν κάποιος καταφέρει να εγκαταστήσει στο τηλέφωνό μας ένα λογισμικό παρακολούθησης ή μας έπεισε να το συνδέσουμε με μια συσκευή που μας έδωσε (φορτιστή ή οτιδήποτε άλλο), τότε είναι πιθανό να στέλνει το τηλέφωνό μας στον επιτιθέμενο πλήρη αναφορά για όλα τα SMS που λαμβάνουμε και τις κλήσεις που κάνουμε.
Σφάλματα δικτύου
Υπάρχουν περιπτώσεις όπου σφάλματα στην υλοποίηση ενός δικτύου μπορούν να ανοίξουν την πόρτα στον οποιοδήποτε να έχει πρόσβαση στα μηνύματα και τις κλήσεις που περνούν μέσα από αυτό.
Μην βασίζεστε στα SMS
Σε οποιαδήποτε από τις παραπάνω περιπτώσεις λοιπόν, κάποιος τρίτος μπορεί να βλέπει τα SMS που «ασφαλίζουν» κάποιον/ους λογαριασμούς μας. Με λίγη προσπάθεια παραπάνω μπορεί να αποκτήσει μέσω social engineering και τα υπόλοιπα στοιχεία που χρειάζεται για να επιτεθεί στον λογαριασμό μας. Ας μην ξεχνάμε πως οι τράπεζες -κι άλλες υπηρεσίες- κάνουν τηλεφωνική ταυτοποίηση με στοιχεία που μπορεί να βρει κανείς με ευκολία Online (π.χ. ημερομηνία γέννησης μέσω facebook, αριθμό τηλεφώνου μέσω κάποιου Online βιογραφικού ή προφίλ μας κ.α.)
Μη βασίζετε την ασφάλεια του λογαριασμού σας στην υπηρεσία SMS. Μην υιοθετείτε ή αποδέχεστε διαδικασίες παράκαμψης ή αλλαγή του κωδικού πρόσβασης μέσω επιβεβαίωσης SMS.
Μεγάλη προσοχή σε μη αυτοματοποιημένα συστήματα
Ο ανθρώπινος παράγοντας αποτελεί συνήθως το μεγαλύτερο κενό ασφάλειας μιας διαδικασίας. Σκεφτείτε το εξής πραγματικό γεγονός:
Τηλεφωνική κλήση σε μεγάλη και πολύ γνωστή εταιρεία κρατήσεων αεροπορικών εισιτηρίων.
Πελάτης: Γεια σας. Θα ήθελα να κλείσω ένα αεροπορικό εισιτήριο για Χ
Εκπρόσωπος: Μισό λεπτό παρακαλώ. Μόλις τελειώσω με τον κύριο που έχω στην άλλη γραμμή θα σας εξυπηρετήσω αμέσως.
Η κλήση δε μπαίνει σε αναμονή κι ο πελάτης ακούει την εκπρόσωπο να μιλάει με τον κύριο της άλλης γραμμής
Εκπρόσωπος: Πείτε μου πάλι σας παρακαλώ το όνομά σας.
Εκπρόσωπος: Παπαδόπουλος Γιάννης. Θα πληρώσετε με κάρτα κύριε Παπαδόπουλε;
Εκπρόσωπος: VISA, μάλιστα. Πείτε μου σας παρακαλώ τον αριθμό της κάρτας.
Εκπρόσωπος: 1234 5678 9102 3456 Ωραία. Πείτε μου σας παρακαλώ την ημερομηνία λήξης:
Εκπρόσωπος: 05/2014 Ωραία. Πείτε μου σας παρακαλώ και τα 3 τελευταία ψηφία στην πίσω πλευρά
Εκπρόσωπος: 123 Πολύ ωραία κύριε Παπαδόπουλε. Η κράτησή σας έχει γίνει. Θα σας στείλουμε….
Κάπως έτσι τα στοιχεία μας μπορούν να καταλήξουν σε λάθος χέρια. Στο παραπάνω πραγματικό γεγονός, ο πελάτης είχε την ηθική και διακριτικότητα να ενημερώσει την εκπρόσωπο για το τραγικό λάθος της και να τελειώσει εκεί το θέμα. Δυστυχώς δε συμβαίνει έτσι πάντα.
Εισερχόμενες τηλεφωνικές κλήσεις
Μεγάλη προσοχή επίσης σε κάθε εισερχόμενη τηλεφωνική κλήση κατά την οποία πρέπει να αποκαλύψουμε προσωπικά μας στοιχεία ή στοιχεία ασφάλειας. Πρέπει να είμαστε απολύτως βέβαιοι ότι συνομιλούμε με τον άνθρωπο που πιστεύουμε (εκπρόσωπο της υπηρεσίας). Αν είναι δυνατόν επιδιώκουμε έναν πιο ασφαλή τρόπο επικοινωνίας, όπως π.χ. κρυπτογραφημένο email.
Ειδικά αν μας έχουν καλέσει στο τηλέφωνο από κάποιον αριθμό που δεν αναγνωρίζουμε, ζητάμε να καλέσουμε εμείς την εταιρεία στον επίσημο τηλεφωνικό αριθμό της εξυπηρέτησης πελατών. Αυτό μας παρέχει μια επιπλέον σιγουριά ότι θα μιλήσουμε με πραγματικό εκπρόσωπο του εταιρείας/παρόχου μας.
Επίλογος
Καταλήγοντας θα ήθελα να τονίσω ότι δε θα πρέπει να θεωρούμε το δίκτυο κινητής και σταθερής τηλεφωνίας ως ασφαλές. Φυσικά το ίδιο ισχύει και για το email και το Internet, καθώς και για οποιοδήποτε άλλο κοινόχρηστο δίκτυο.
Για τη διενέργεια οικονομικών συναλλαγών αλλά και την ασφάλεια των λογαριασμών σας υιοθετήστε λιγότερο προβλέψιμες ή επισφαλείς μεθόδους ταυτοποίησης κι επικοινωνίας όπως:
- Έλεγχο ταυτότητας δύο στοιχείων (2 Factor Authentication) μέσω κάποιας εφαρμογής Ανοικτού Κώδικα όπως FreeOTP κι άλλων
- Χρήση των φυσικών OTP συσκευών αντί του SMS
- Χρήση βιομετρικών στοιχείων όπου διατίθεται αυτή η δυνατότητα
- GPG κρυπτογραφημένη και υπογεγραμμένη επικοινωνία μέσω email κι όχι απλό email
- Επικοινωνία μέσω συστημάτων όπου ελέγχουμε την ψηφιακή ταυτότητα του συνομιλητή μας. Συστήματα επικοινωνιών όπως το Bitmessage και το Signal
Κάντε τη δική σας έρευνα
Αν δε μπορείτε να βασιστείτε απλά στα λεγόμενά μας, μην το κάνετε! Κάντε τη δική σας έρευνα. Μπορείτε να ξεκινήσετε από το NIST (National Institute of Standards and Technology) και πιο συγκεκριμένα από την οδηγία DRAFT NIST Special Publication 800-63B Digital Authentication Guideline, από την οποία είναι οι παρακάτω παραθέσεις:
Due to the risk that SMS messages or voice calls may be intercepted or redirected, implementers of new systems SHOULD carefully consider alternative authenticators.
Εξαιτίας του κινδύνου υποκλοπής ή ανακατεύθυνσης των μηνυμάτων SMS ή των κλήσεων, όσοι προβαίνουν σε υλοποιήσεις νέων συστημάτων ΘΑ ΠΡΕΠΕΙ να εξετάζουν εναλλακτικές μεθόδους ταυτοποίησης.
Note: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline.
Σημείωση: Αποδοκιμάζεται η εξωτερική ταυτοποίηση μέσω δικτύου PSTN (SMS ή φωνή) κι εξετάζεται η κατάργησή της σε μελλοντικές εκδόσεις αυτής της κατευθυντήριας γραμμής.
Σχετικοί σύνδεσμοι
- Here’s How Hackers Can Hijack Your Online Bitcoin Wallets
- Hackers Can Read Your Private SMS and Listen to Phone Calls
- SS7 hack explained: what can you do about it?
- Coinbase vulnerability is a good reminder that SMS-based 2FA can wreak havoc
- Fixing the Cell Network Flaw That Lets Hackers Drain Bank Accounts
- After years of warnings, mobile network hackers exploit SS7 flaws to drain bank accounts
- SS7 Vulnerability Isn’t a Flaw — It Was Designed That Way
- The Fall of SS7 – How Can the Critical Security Controls Help?
- Hackers used a long-neglected vulnerability in phone networks to empty victims’ bank accounts