Уязвимость SS7: как через SMS-коды взламывают аккаунты

от

"Мы привыкли думать, что двухфакторная аутентификация через SMS, это наш бронёный сейф. На самом деле его дверь может быть открыта тем, кто знает, где спрятан ключ от самой сейфовой комнаты. SS7, это архитектурная уязвимость всей телефонной сети, которая делает сообщения о кодах видимыми для посторонних, и эта брешь остаётся открытой, потому что починить её, это всё равно что перестроить все дороги в стране."

Что такое SS7 и почему он всё ещё с нами

Протокол SS7 (Signaling System No. 7), это фундаментальная технология, лежащая в основе работы телефонных сетей по всему миру, включая мобильную связь. Его основная задача — управление вызовами: установление соединения, его завершение, маршрутизация, передача служебной информации. Когда вы звоните или получаете SMS, именно SS7 «договаривается» между коммутаторами разных операторов о том, как доставить сигнал. Эта система была разработана в эпоху аналоговой телефонии, когда основным риском считался физический обрыв кабеля, а не цифровая атака извне.

Представьте себе центральную нервную систему для всех телефонных разговоров и сообщений. SS7, это и есть такая система. Но в её исходном проекте безопасность была вторична по отношению к функциональности и надёжности связи. Сеть SS7 строилась на принципах доверия между операторами связи: считалось, что доступ к этой внутренней служебной сети имеют только лицензированные телеком-провайдеры, а значит, угрозы из внешнего мира для неё не актуальны.

Как выглядит атака через SS7 на практике

Злоумышленник, получивший доступ к сигнальной сети SS7 (а такие услуги, увы, можно найти в теневом сегменте), получает набор мощных инструментов. Для атаки на ваш аккаунт, привязанный к номеру телефона, используется не прямой взлом вашего устройства, а манипуляция с сигнальной информацией в сети оператора.

Типичный сценарий выглядит так:

  1. Злоумышленник узнаёт номер телефона, привязанный к вашему платёжному аккаунту (например, через утечку данных или социальную инженерию).
  2. Используя уязвимости в SS7, атакующий перенаправляет служебные сигналы, связанные с вашим номером, на оборудование под его контролем. Часто это делается через команду «пересылки SMS» (SMS Home Routing Interception).
  3. На сайте сервиса (например, PayPal) инициируется процедура восстановления пароля или входа с подтверждением через SMS.
  4. Код подтверждения, отправленный сервисом, вместо вашего телефона приходит на устройство атакующего, так как сеть была обманута на уровне SS7.
  5. Получив код, злоумышленник завершает вход, меняет пароль и получает полный контроль над аккаунтом.

Важно понимать: ваш телефон в этот момент может быть полностью исправен, находиться в зоне покрытия и не показывать никаких признаков взлома. Атака происходит не на конечное устройство, а на инфраструктурном уровне связи между операторами.

Почему это нельзя просто «починить»

Проблема SS7, это классический пример «технологического долга» глобального масштаба. Замена или глубокая модернизация этой системы сопоставима с перестройкой железнодорожных путей по всей стране без остановки движения поездов.

  • Всеобщая зависимость: Практически каждый оператор мобильной связи в мире использует SS7 или его производные для взаимодействия с другими сетями. Отказ от него означает потерю связи с абонентами других операторов.
  • Стоимость и сложность: Внедрение современных протоколов сигнализации (например, на базе IP, таких как Diameter) требует колоссальных инвестиций в замену оборудования и переобучение персонала.
  • Координация: Даже если один оператор обезопасит свой сегмент, он останется уязвим из-за соседей, чьи сети могут быть скомпрометированы. Безопасность здесь зависит от самого слабого звена в цепочке.
  • Приоритеты: Для операторов связи обеспечение бесперебойного функционирования сети и внедрение новых коммерческих услуг (5G, IoT) часто имеет более высокий приоритет, чем патчинг фундаментальных уязвимостей устаревшего бэкенда.

Таким образом, уязвимости в SS7, это не баг, а фича архитектуры, с которой миру связи приходится жить и мириться, пытаясь компенсировать риски другими способами.

Что на самом деле защищает и что нет

Понимание природы угрозы помогает правильно оценить эффективность защитных мер.

Малоэффективно или неэффективно:

  • Частая смена пароля к аккаунту. Атака идёт в обход пароля.
  • Антивирус на телефоне. Угроза не связана с вредоносным ПО на устройстве.
  • Блокировка SIM-(USSD)-команд. Атака происходит на уровне, недоступном для этих команд.
  • Выбор «самого безопасного» оператора. Проблема системная, и риск существует в сетях всех операторов, хотя уровень гигиены безопасности может отличаться.

Более эффективные меры защиты:

  • Отказ от SMS как второго фактора для критически важных сервисов, особенно финансовых. Это самое главное действие.
  • Использование аппаратных ключей безопасности (U2F/FIDO2), таких как YubiKey, или программных аутентификаторов на основе TOTP (Google Authenticator, Aegis). Эти методы не зависят от телефонной сети.
  • Применение менеджеров паролей для создания и хранения уникальных сложных паролей к каждому сервису. Это защитит от утечек баз данных, которые часто являются первым шагом для атакующего, чтобы узнать ваш номер.
  • Внимание к уведомлениям. Если вы получили SMS с кодом, который вы не запрашивали,, это возможный признак попытки взлома. Немедленно проверьте активность в аккаунте и свяжитесь со службой поддержки сервиса.

Что делать, если это уже произошло

Если вы подозреваете или обнаружили, что ваш платёжный аккаунт скомпрометирован, действуйте быстро и последовательно:

  1. Немедленно свяжитесь со службой поддержки сервиса (например, PayPal) по официальному телефону или через форму на сайте, но не по ссылкам из подозрительных писем. Сообщите о несанкционированном доступе и запросите блокировку аккаунта.
  2. Проверьте историю операций на предмет несанкционированных переводов или изменений данных.
  3. Отзвонитесь в свой банк, если карта была привязана к аккаунту, и сообщите о возможном мошенничестве. Может потребоваться блокировка карты и перевыпуск.
  4. Смените пароль на новый, уникальный и сложный, только после того, как контроль над аккаунтом будет восстановлен через службу поддержки и вы убедитесь, что злоумышленник из него вытеснен.
  5. Включите самый строгий доступный метод двухфакторной аутентификации, исключающий SMS. Часто после инцидента поддержка может временно отключить SMS-подтверждение для вашего аккаунта, чтобы помочь это сделать.
  6. Проверьте настройки безопасности аккаунта: список доверенных устройств, активные сессии, привязанные номера телефонов или резервные email. Удалите всё, что не принадлежит вам.

Стоит также обратиться к своему оператору связи с запросом проверить журналы сигнализации на предмет аномальной активности, связанной с вашим номером, хотя операторы редко предоставляют такие данные конечным абонентам.

Альтернативы SMS: как выбрать защиту

Поскольку SMS остаётся слабым звеном, выбор альтернативы становится критически важным. Вот сравнительная таблица методов:

Метод аутентификации Как работает Уровень безопасности Удобство Зависимость от телефона/сети
SMS / звонок Код отправляется оператором на номер. Низкий. Уязвим к SS7, SIM}свопу, фишингу. Высокое. Не требует дополнительных действий. Полная. Требуется сеть оператора.
TOTP-приложения (Google Auth, Aegis) Приложение генерирует код на основе общего с сервером секрета и времени. Высокий. Уязвим только если устройство с приложением скомпрометировано. Среднее. Требуется открыть приложение и ввести код. Частичная. Нужен телефон, но не нужна сеть оператора.
Аппаратные ключи (YubiKey, Titan) Физическое устройство подключается или использует NFC/BT для криптографической подписи запроса. Очень высокий. Устойчив к фишингу и перехвату. Защита даже при компрометации пароля. Среднее/низкое. Требуется носить с собой ключ. Отсутствует. Работает автономно.
Push-уведомления (в фирменном приложении) Запрос на подтверждение приходит в защищённое приложение сервиса. Средний/высокий. Зависит от безопасности устройства и приложения. Устойчив к SS7. Очень высокое. Достаточно нажать «Подтвердить». Частичная. Требуется интернет и приложение.

Для максимальной защиты финансовых и критичных аккаунтов рекомендуется связка: менеджер паролей + аппаратный ключ или TOTP-приложение. Это создаёт барьер, который крайне сложно преодолеть даже при наличии у злоумышленника вашего номера телефона и пароля из утечки.

Уязвимости в глобальных инфраструктурных системах, таких как SS7, напоминают о том, что безопасность, это не просто ваш сильный пароль. Это цепочка, которая лишь настолько прочна, насколько прочно её самое слабое звено. В современном мире, где цифровая идентификация часто привязана к номеру телефона, понимание этих системных рисков — первый шаг к тому, чтобы сделать это звено как можно крепче. Отказ от SMS-кодов для всего важного, это не паранойя, а осознанный выбор в мире, где фундамент телефонной сети всё ещё построен на технологиях доверия полувековой давности.

Оставьте комментарий