Кейсы 5 мая 2017

Двухфакторная защита доказала свою несостоятельность

Далее

Уязвимость двухфакторной аутентификации протокола SS7 была доказана на практике. На этот раз речь идет не о научных экспериментах, а о действительных случаях злонамеренного взлома банковских счетов. Под угрозой – каждый аккаунт.

Протокол сотовых сетей ОКС-7 (SS7), который обеспечивает возможность мобильной коммуникации, обладает рядом уязвимостей. Об этом давно говорят специалисты по связи и кибербезопасности. С их помощью можно перехватывать и перенаправлять звонки и текстовые сообщения, что позволяет хакерам следить практически за любым телефоном в мире.

Так и поступили преступники, которые в течение нескольких месяцев грабили банковские счета граждан, как сообщает немецкая газета Sueddeutsche Zeitung. Хакеры получали данные о логине и пароле пользователя (вероятно, эти данные были получены в результате другого взлома), заходили в онлайн-банк и перехватывали код, который банк отсылал на мобильный телефон клиента для подтверждения его личности.

В Британии заработал частный термоядерный реактор

Перехват звонка или текстового сообщения осуществляется при помощи оборудования, которое, по словам немецких журналистов, стоит около €1000. После чего хакеры переводили деньги на свои счета.

О наличии таких уязвимостей известно давно, но до сих пор никто не нашел возможности исправить их, поскольку риски для клиентов считаются низкими, а стоимость переоборудования системы — высокой. Но теперь, когда потенциально любое текстовое сообщение на основе двухфакторной аутентификации (пароли к социальным сетям, банковским счетам, электронной почте) находятся под угрозой, ситуация может измениться.

«Любой счет, защищенный текстовой двухфакторной аутентификацией, например, банковский, потенциально находятся под угрозой, пока Федеральная комиссия по связи США и индустрия телекоммуникаций не исправит эту разрушительную уязвимость», — заявил конгрессмен Тед Лье, который призвал Конгресс провести «немедленные слушания» по этому вопросу, сообщает ZDNet.

Компания печатает титановые ключи, которые невозможно скопировать

Возможно, многих проблем с кибербезопасностью можно было бы избежать, если ввести обучение кибербезопасности в школах. Так поступили в Британии, где школьников с 14 лет станут учить защищать себя и свою страну в цифровых войнах.