پرش به محتوای اصلی

چرا امنیت احراز هویت دو مرحله ای از طریق اس ام اس به تنهایی کافی نیست؟

چرا امنیت احراز هویت دو مرحله ای از طریق اس ام اس به تنهایی کافی نیست؟

اغلب در پاسخ سوال "آیا شما واقعا به آنتی ویروس نیاز دارید" چیزهایی شبیه زیر می شنویم:
- من هیچ نیازی به آنتی ویروس ندارم! تا به حال هیچ وقت برایم پیش نیامده که مجرمان من را مورد هدف قرار بدهند. ویروس ها؟ باج افزار؟ هرگز به سمت من نمی آیند. در صورتی که مورد حمله ی آنها قرار بگیرم سیستم عامل خود را مجدد نصب می کنم چون هیچ چیزی برای از دست دادن ندارم و چیز با ارزشی روی سیستم کامپیوتر من نصب نیست.
- اما شما حساب بانکی دارید، اینطور نیست؟ شما خرید های آنلاین انجام می دهید، درست است؟
- بله، بانک ها سیستم احراز هویت دو مرحله ای دارند. آنها از من محافظت می کنند. حتی اگر هکرها کارت مرا به سرقت ببرند، آن ها قادر به برداشت پول از حساب من نخواهند بود.
خب کاملا واضح است که آن ها می توانند این کار را انجام دهند. اول اینکه تمام فروشگاه های آنلاین از حفاظت امن 3D استفاده نمی کنند، این بدان معنی است که همه ی معاملات بانکی به کد تاییدیه که در غالب مسیج ارسال می شود نیاز ندارند. حتی هیچ تضمینی برای سرقت CVV که بر روی کارت نوشته شده است هم وجود ندارد.
ثانیا هکرها می توانند مسیج های در حال ارسال بانک ها را رهگیری کنند و از کدهای تایید برای بدست آوردن دسترسی کامل به حساب کاربری شخص استفاده کنند. به تازگی مبلغ قابل توجهی از مصرف کنندگان بدشانس در آلمان از همین طریق به سرقت رفته بود. اجازه دهید نگاهی دقیق تر به نحوه ی رویداد آن بیندازیم:


SS7: یک حفره در تلفن
رهگیری مسیج های تلفن همراه ممکن است به دلیل آسیب پذیری باشد که در مجموعه پروتکل های سیگنالی SS7 وجود دارد. این پروتکل های سیگنالینگ، ستون فقرات سیستم های ارتباطات تلفن های معاصر هستند. آن ها برای انتقال تمام اطلاعات در شبکه ی تلفن طراحی شده اند. بد نیست که بدانید استاندارد SS7 در راه اندازی و مدیریت ارتباطات برای یک تماس، قطع ارتباط پس از پایان تماس، مدیریت انتقال تماس، نمایش نام شخص تماس گیرنده، نمایش شماره تماس گیرنده، تماس سه طرفه، خدمات شبکه هوشمند (IN)، صدور صورت حساب، تماس های تلفنی رایگان، خدمات تلفنی بی سیم همانند خدمات تلفنی با سیم مانند احراز هویت مشترکان تلفن همراه، خدمات ارتباطات شخصی (PCS) و رومینگ کاربرد دارد.
مجرم از طریق SS7 می تواند مکالمات را استراق سمع کند، محل کاربر را تعیین کند و پیام های اس ام اس را رهگیری کند. بنابراین جای تعجب ندارد که در بسیاری از کشورها دسترسی به SS7 غیر مجاز است.


حمله چگونه اتفاق می افتد؟
در مورد حمله ی اخیرا آلمان به این گونه بود که:
1 - کامپیوترهای کاربران توسط یک تروجان بانکی آلوده شده بودند. در این زمان آلوده کردن افرادی که از راهکارهای امنیتی استفاده نمی کردند بسیار راحت بود. مجرمان می توانستند بدون هیچ نشانه ای به آلوده کردن بپردازند و کاربران هم از این موضوع بی خبر بمانند.
با استفاده از تروجان، هکرها لوگین و پسورد بسیاری از کاربران را به سرقت بردند (البته تنها سرقت اعتبار بانکی کافی نبود و در بسیاری از موارد کد تایید بانک که از طریق اس ام اس از جانب بانک ارسال شده بود هم نیاز بود).
2 - ظاهرا همان تروجان برای سرقت شماره تلفن کاربران هم استفاده شده بود. این داده ها در زمانی که کاربران خرید های آنلاین انجام میدهند درخواست می شود و سرقت آن ها برای مجرمان کار چندان سختی هم نیست. بنابراین، مجرمان هم به حساب های بانکی کاربران و هم به شماره تلفن همراه آن ها دسترسی داشتند.
3 - مجرمان با استفاده از سرقت لوگین بانک، شروع به انتقال پول به حساب بانکی خود کردند. پس از آن، با دسترسی به SS7 پیام هایی که به قربانیان ارسال می شد را به تلفن های خود فوروارد می کردند تا بتوانند خود به تنهایی کد های تاییدیه بانک را دریافت کنند. به همین خاطر هم بود که بانک هیچ دلیلی برای مشکوک شدن به آن ها نداشت.
محققان حوزه امنیت درآلمان این حمله را تایید کردند و حامل های خارجی که به شبکه ی SS7 دسترسی داشتند و برای این حمله مورد استفاد قرار گرفته بودند مسدود و افراد آلوده را از این موضوع با خبر ساختند. هنوز مشخص نیست که قربانیان توانسته اند به پول های خود دست یابند یا خیر.


آیا هنوز هم بر این باور هستید که به آنتی ویروس نیازی نیست؟
احراز هویت دو مرحله ای معمولا به عنوان یک راهکار امنیتی در نظر گرفته می شود، اما این راه در صورتیکه کسی به تلفن شما دسترسی نداشته باشد کارآمد است، در صورتیکه دسترسی تلفن شما از کنترل شما خارج شود چطور؟! این طور که مشخص است دسترسی به SS7 کار راحتی است و مجرمان می توانند با دسترسی به مسیج های شما به پول های داخل حساب شما دست یابند.


اما برای امنیت بیشتر احراز هویت دو مرحله ای و محافظت در برابر حملات مشابه در این پست چه کاری را می توان انجام داد؟
در راه موثر وجود دارد:
•    اس ام اس تنها راه برای احراز هویت دو مرحله ای نیست. مشاهده کنید اگر که بانک شما از دیگر راه ها همانند اپلیکیشن های Google Authenticator و کلیدهای USB رمزنگاری شده پشتیبانی می کند، این راهکارهای امنیتی را برای امنیت بیشتر پول های خود در نظر بگیرید. 
•    از یک راهکار امنیتی قابل اعتماد برای تمامی دستگاه های خود استفاده کنید. متاسفانه تمامی بانک ها از دیگر راه های برای جایگزین احراز هویت دو مرحله ای استفاده نمی کنند، برخی از آن ها کد را تنها با مسیج ارسال می کنند و تنها امید شما می تواند به یک راهکار امنیتی مطمئن و قابل اعتماد باشد. در این پست در وهله ی اول حضور مهم یک تروجان را در حمله مشاهده کردیم که اگرسیستم اجازه ی ورود تروجان را به سیستم ندهد، ورود به سیستم بانکی هم مسلما اتفاق نخواهد افتاد. بنابراین وجود تروجان ها را در از دست دادن پول های خود دست کم نگیرید و یک راهکار امنیتی قوی برای خود در نظر بگیرید.
 

تبلیغات

طراحی و قالب وب سایت طراحی و عکاسی

مناسب برای فروش و آموزش و ارائه نمونه کار
فروش ویژه پاییزی آنتی ویروس نود 32 و کسپرسکی
Logo-Samandehi Logo-Enamad