Да, это настоящая атака, и она использует уязвимости протокола, который работает в самой сердцевине мобильной связи. Недостаточно сменить пароль — здесь придётся думать о защите на другом уровне. https://seberd.ru/5661
Что такое SS7 и почему это проблема безопасности
В основе мобильной связи лежит сеть сигнализации №7 (SS7). Этот протокол был разработан несколько десятилетий назад, когда в первую очередь решались задачи установления соединения и маршрутизации вызовов между разными операторами. Безопасность в современном понимании тогда не была приоритетом.
SS7 представляет собой внутреннюю сеть связи, к которой имеют доступ операторы связи по всему миру. Протокол позволяет отправлять служебные команды: например, чтобы узнать местоположение абонента, переадресовать его вызов или SMS-сообщение. Если эта система не имеет должной защиты от несанкционированного доступа, возникает критическая уязвимость.
Атака на SS7, это не взлом конкретного телефона. Это эксплуатация доверия внутри самой сетевой инфраструктуры. Злоумышленник, получивший доступ к SS7-сети, может отправить от имени легитимного оператора команду на перехват сообщений, предназначенных для вашего номера. Для сети это выглядит как стандартный служебный запрос.
Как работает атака с перехватом SMS через SS7
В сценарии с взломом аккаунта PayPal или другого сервиса, использующего SMS для двухфакторной аутентификации (2FA), атака проходит в несколько этапов.
Сначала злоумышленнику нужны ваши базовые данные: номер телефона, привязанный к аккаунту, и логин (обычно email). Эти данные часто оказываются в открытом доступе после утечек с других сайтов или продаются на теневых форумах.
Далее атакующий инициирует процедуру восстановления пароля или входа в аккаунт на сайте PayPal. Система, следуя настройкам безопасности, отправляет SMS с одноразовым кодом подтверждения на ваш номер.
В этот момент, используя уязвимости в SS7, злоумышленник отправляет в сеть сигнализационную команду. Эта команда убеждает сеть оператора, что ваш телефон временно недоступен (например, находится в роуминге в другой сети), и просит перенаправить все входящие SMS на контролируемый им номер или шлюз. Код подтверждения из SMS перехватывается, и атакующий получает полный доступ к аккаунту.
Важно понимать: ваш телефон при этом может показывать полную сеть. SMS от PayPal просто не придёт, либо придёт с задержкой, когда доступ уже будет скомпрометирован.
Почему именно SMS-подтверждение стало ахиллесовой пятой
SMS как второй фактор долгое время считался простым и достаточно надёжным способом защиты. Однако он имеет фундаментальные уязвимости, которые выходят за рамки безопасности вашего устройства.
- Зависимость от инфраструктуры связи. Безопасность канала доставки SMS полностью лежит на операторе мобильной связи и используемых им протоколах (вроде SS7). Пользователь не может ни проверить, ни усилить защиту этого канала.
- Невозможность шифрования содержимого. SMS передаются в открытом виде. Даже если тело сообщения закодировано, сам факт получения SMS-сообщения с определённого короткого номера (например, от PayPal) уже является сигналом для атакующего.
- Уязвимость к социальной инженерии. Отдельно стоит проблема SIM-свопа, когда злоумышленник, обладая некоторыми личными данными, убеждает оператора связи перевыпустить вашу SIM-карту на новый номер под своим контролем. Это ещё один путь перехвата SMS, не требующий сложных технических атак на SS7.
уязвимости SS7 превращают SMS из фактора аутентификации в единую точку отказа, безопасность которой вы не контролируете.
Что делать, если вы подозреваете подобный взлом
Если вы столкнулись с несанкционированным доступом к финансовому аккаунту, а код подтверждения так и не пришёл или пришёл, когда доступ уже был получен, последовательность действий должна быть жёсткой и быстрой.
- Немедленно свяжитесь со службой поддержки сервиса. В случае с PayPal или банком — заблокируйте аккаунт или карту через горячую линию. Сообщите о подозрении на взлом через перехват кода. Чем быстрее вы это сделаете, тем выше шанс отменить fraudulent-транзакции.
- Смените пароль и отзовите все активные сессии. После восстановления контроля над аккаунтом немедленно смените основной пароль на уникальный и сложный. Во всех современных сервисах есть функция просмотра и закрытия всех активных входов с других устройств — используйте её.
- Немедленно откажитесь от SMS как метода 2FA. Это ключевой шаг. В настройках безопасности аккаунта выберите другой метод двухфакторной аутентификации.
- Обратитесь к своему мобильному оператору. Сообщите о возможной компрометации номера. Запросите подробности о недавней активности: не было ли запросов на перенаправление сообщений, смену SIM-карты или необычных действий в роуминге. Некоторые операторы предоставляют услугу дополнительной защиты от SIM-свопа (например, кодовое слово для любых действий с номером).
- Проверьте другие аккаунты. Если ваш номер телефона и email скомпрометированы в рамках одной атаки, высока вероятность, что злоумышленники попытаются получить доступ и к другим вашим сервисам. Особое внимание — к почте и мессенджерам, через которые часто идёт восстановление доступа ко всему остальному.
Чем заменить SMS для двухфакторной аутентификации
Полный отказ от двухфакторной аутентификации — плохая идея. Нужно заменить слабое звено (SMS) на более безопасные альтернативы.
- Аутентификационные приложения (TOTP). Такие приложения, как Google Authenticator, генерируют одноразовые коды локально на вашем устройстве, синхронизируясь с сервером по секретному ключу. Код не передаётся по сети, поэтому перехватить его через SS7 невозможно. Это наиболее рекомендуемый и удобный метод.
- Аппаратные ключи безопасности (U2F/FIDO2). Физические устройства, такие как USB- или NFC-ключи. Они обеспечивают самый высокий уровень защиты, поскольку для аутентификации требуется физическое наличие ключа. Уязвимы только к прямой краже устройства.
- Push-уведомления в фирменных приложениях. Некоторые сервисы, включая крупные банки, предлагают подтверждать вход через push в своём мобильном приложении («Разрешить вход с нового устройства?»). Это также безопаснее SMS, так как требует компрометации самого приложения на вашем телефоне.
Можно ли как-то защититься от атак на SS7 на уровне оператора?
Прямых инструментов у конечного абонента нет. Защита сетей SS7 — ответственность операторов связи и национальных регуляторов. Однако можно косвенно повлиять на свою безопасность.
Выбирайте операторов, которые публично заявляют о внедрении систем мониторинга и защиты сигнальной сети (сигнальные файрволы). Крупные игроки обычно инвестируют в такие решения больше.
Используйте дополнительный PIN-код или пароль для важных действий в личном кабинете оператора, чтобы усложнить социальную инженерию для SIM-свопа.
И помните главное: ваша безопасность в эпоху таких атак строится на принципе «не класть все яйца в одну корзину». Не используйте один и тот же номер телефона в качестве основного восстановительного метода для всех критически важных аккаунтов — почты, банка, кошельков. Разделите их, где это возможно, или переведите на бестелефонные методы аутентификации.