Публикувана на 17.06.2025 от Questo
Последна промяна на 18.06.2025
Повод за тази публикация е един статус на Божидар Божанов, в който споделя как някой се опитва да му хакне Telegram акаунта и почти успява, тъй като намира начин да заобиколи двуфакторната автентикация с SMS.
„Имам допълнителна парола, която не позволява такива атаки с прихващане на SMS-и, но това е пореден пример защо не трябва да се разчита на SMS“, уточнява Божанов.
Повечето от вас вероятно разчитат именно на еднократни кодове, получени с SMS, за да защитават профилите си в интернет.
Ето защо е добре да преосмислите тази практика.
Какво е двуфакторна автентикация и каква е ролята на SMS-ите?
Двуфакторната автентикация е допълнителен слой защита отвъд обикновената парола, изисквайки поне две различни форми на идентификация.
Най-просто казано, след като потребителят въведе паролата си за достъп, той трябва да въведе и втори код за достъп, с който разполага на момента, за да може да докаже самоличността си и да приключи влизането. В противен случай системата не го пуска.
Най-често този втори код се получава на смартфона под формата на SMS.
Получаването на код с SMS звучи удобно и лесно. Телефонът ни е винаги с нас, а SMS съобщенията изглеждат като директен и бърз начин за проверка на самоличността.
Проблемът е, че SMS-ите – както всъщност и традиционните гласови обаждания – са остаряла технология, криеща в себе си уязвимости.
Къде се чупи двуфакторната автентикация с SMS?
В общия случай SMS съобщенията не са криптирани по подразбиране при преминаването си през клетъчните мрежи. При определени обстоятелства злонамерени лица могат да прихванат съдържанието им, включително еднократни кодове.
SS7 (Signaling System 7) е набор от протоколи, използвани от телекомуникационните мрежи на мобилните оператори. Уязвимости в SS7 могат да позволят на злонамерени лица да прихващат SMS съобщения, да подслушват разговори и дори да проследяват местоположението на потребители.
Всичко това не става ей така с щракване на пръститете – изискват се технически познания и известни финансови ресурси. Но е възможно, а в Youtube за най-любознателните има и видеа, които показват как може да се случи.
Ако на смартфона ви има инсталиран зловреден софтуер, който може да чете SMS-ите ви, това също компрометира двуфакторната автентикация като форма на допълнителна защита.
Друга опасност е т.нар. SIM swapping или дублиране на SIM карти. При него злонамереното лице се сдобива(включително и с помощта на вътрешен човек от мобилния оператор) с копие на SIM картата ви и може да вижда SMS-ите, които получавате. Тази атака е ефективна за кратко време – докато собственикът на SIM картата усети, че нещо не е наред.
Какви са алтернативите на двуфакторна автентикация с SMS?
Най-популярната и достъпна алтернатива са мобилните приложения за автентикация: Google Authenticator, Microsoft Authenticator, Authy и т.н. Те генерират еднократни кодове локално на вашето устройство и не се изпращат през комуникационна мрежа, което ги прави по-сигурни от SMS кодовете.
Слабост на приложенията за автентикацията е, че генерираните кодове все пак могат да бъдат откраднати чрез социално инженерство. Например злонамерено лице може да се представи за служител на онлайн услуга и да ви помоли да му продиктувате кода, който току що се е генерирал на приложението за двуфакторна автентикация.
По трудно е да станете жертва на социално инженерство, ако използвате физически ключ за двуфакторна автентикация. Познати още като флашки, донгъли и други, това са хардуерни устройства, които се побират в джоба. Те са еквивалента на ключ за врата – носите си ги с вас и ги свързвате към устройството ви обикновено чрез USB или NFC. Сред популярните брандове са YubiKey, Titan, Feitian и други.
Биометричните данни – пръстови отпечатъци, лицево разпознаване, сканиране на ириса – също са форма на двуфакторна автентикация. Отключването с отпечатък или лицево разпознаване е разпространена функция сред много смартфони. Все пак използването им се препоръчва в комбинация с някаква форма на въвеждане на код.
Подобни статии
