Майнинг Криптовалюты
  • Новости
  • Криптовалюта
    • Что такое криптовалюта?
    • Как купить криптовалюту за рубли
    • Стейкинг — как получать доход от хранения криптовалюты?
    • NFT невзаимозаменяемые токены
    • Как заработать криптовалюту? ТОП-7 способов актуальных на 2022 год
    • Рейтинг криптовалютных обменников
    • Выбор кошелька для криптовалюты
    • Что такое Блокчейн (Blockchain)
    • Что такое альткоины (altcoins)
    • Что такое умные смарт-контракты
    • Что такое цифровой токен
    • Во что инвестировать в 2022 году
    • Криптовалюта Ethereum / Эфириум
      • Все виды кошельков для Эфириума — MyEtherWallet, Mist, Jaxx
      • Майнинг Эфириума (ETH) — пулы, программы, видеокарты
      • Как работает блокчейн Ethereum — смарт контракты и адреса счетов
      • Транзакции в сети Ethereum — Газ (GAS), комиссии, сложность сети
      • Токены ERC-20 на смарт-контрактах Ethereum. Что это и как работает?
    • Словарь криптовалютных терминов
  • Биткоин
    • Что такое Биткоин (Bitcoin)?
    • Как купить биткоины за рубли с карты Сбербанка, Киви, Яндекс Деньги
    • Какой Bitcoin кошелек выбрать — онлайн, локальный, аппаратный
    • Создание биткоин кошелька — пополнение, вывод, комиссии
    • Как майнить биткоины в 2022 году — виды майнинга, оборудование, пулы
    • Транзакции в сети Биткоин — время, отслеживание, размер комиссии
    • Биткоин краны — таблица 2022
    • Сатоши Накамото (создатель биткоина)
    • Как заработать биткоины и альткоины
  • Майнинг
    • Облачный майнинг — плюсы и минусы, рейтинг надежных сервисов
    • Что такое майнинг криптовалюты?
      • Сложность майнинга и хешрейт сети
      • Механизм консенсуса Proof-of-Work
      • Механизм консенсуса Proof-of-Stake
      • Алгоритмы майнинга криптовалют
      • Какую криптовалюту майнить в 2022?
      • Браузерный майнинг — что это и как на нем заработать
    • Майнинг ферма — сборка и настройка
    • Оборудование для майнинга криптовалют актуальное на 2022
      • Материнские платы на 4-13 видеокарт
      • Блоки питания, серверные и обычные
      • Райзеры для видеокарт
      • Комплектующие для майнинг фермы — процессоры, жесткие диски, ОЗУ
      • Сборка каркаса для GPU-фермы: чертеж и размеры
    • Майнинг на видеокарте (GPU)
      • Лучшие видеокарты для майнинга 2022 (таблицы и калькуляторы)
      • Какие драйвера ставить для майнинга на видеокартах Nvidia и AMD
      • Разгон видеокарт Nvidia и AMD для эффективности майнинга
      • Обзоры моделей видеокарт для майнинга — хешрейт и разгон
        • Обзор видеокарты RTX 2080
        • Обзор видеокарты RTX 2070 SUPER
        • Обзор видеокарты RTX 2060
        • Обзор видеокарты Radeon RX 5700 RX/XT
        • Обзор видеокарты Nvidia GTX Titan V
        • Обзор видеокарты GTX 1080 ti 8g
        • Обзор видеокарты GTX 1070 8g
        • Обзор видеокарты GTX 1060 3-6g
        • Обзор видеокарты GTX 1050 ti 4g
        • Обзор видеокарты Radeon RX 580
        • Обзор видеокарты Radeon RX 480
        • Обзор видеокарты Radeon RX 470
    • Майнинг на процессоре (CPU)
    • Майнинг на жестком диске (HDD, SSD)
    • Майнинг на асиках (ASIC)
      • Обзор Bitmain Antminer S19 и S19 pro
      • Обзор Bitmain Antminer S17+
      • Обзор Bitmain Antminer S15 и T15
      • Обзор Bitmain Antminer S9 и S9i
    • Калькуляторы прибыльности и окупаемости майнинга
    • Программы для майнинга
      • Hive OS 2.0 — специальная ОС для майнинга, установка и настройка
      • Claymore’s Dual Miner для GPU видеокарт Nvidia и AMD
  • Биржи
    • Рейтинг ТОП-15 криптовалютных бирж на 2022 год. Выбор криптобиржи
    • Как получать пассивный доход от хранения криптовалюты на бирже?
    • Фьючерсы на биткоин — что это такое и где можно ими торговать?
    • Обзоры 10 лучших криптовалютных площадок с пошаговой инструкцией
      • Обзор биржи Binance (Бинанс) — торговая площадка №1 в мире
      • Обзор биржи EXMO (Эксмо)
      • Обзор биржи PrimeXBT (Прайм-XBT)
      • Обзор биржи Huobi (Хуоби)
      • Обзор биржи BTC-Alpha (БТС-Альфа)
      • Обзор биржи Kucoin (Кукоин)
      • Обзор биржи OKEx (Окекс)
      • Обзор биржи Bittrex (Битрикс)
      • Обзор биржи Poloniex (Полоникс)
      • Обзор биржи YoBit (Йобит)
    • Как правильно торговать на бирже криптовалют?
    • Боты для торговли на криптобиржах
  • Пулы и сервисы
    • Стейкинг — получение дохода от хранения криптовалют. Виды и условия
    • NFT Binance: платформа для покупки и продажи NFT-токенов
    • IQMining сервис облачного майнинга №1 в мире — тарифы и настройки
    • Рейтинг лучших майниг-пулов для добычи на своем оборудовании 2022
      • Binance Pool — настройка майнинга биткоина, комиссии, вывод средств
      • Пулы для добычи Bitcoin (BTC)
      • Пулы для майнинга Ethereum (ETH)
      • Пулы для майнинга Zcash (ZEC)
      • Пулы для майнинга Litecoin (LTC)
  • Технологии
    • Даркнет (DarkNet)
    • Биг Дата (Big Data)
    • Интернет вещей (IoT)
    • 5G интернет технология
    • Робототехника (robotics)
    • QR-код (Quick Response Code)
    • Антиматерия (антивещество)
    • Искусственный интеллект (AI)
    • Виртуальная реальность (VR / AR)
    • Облачный майнинг (Cloud Mining)
    • Нейронные сети (neural network)
    • Децентрализованные финансы (DeFi)
    • Квантовый компьютер / вычисления
    • Двухфакторная аутентификация (2FA)
    • Машинное обучение (Machine Learning)
    • Цифровая экономика (Digital Economy)
Рейтинги крипто-сервисов
  • Криптовалютные биржи
  • Кошельки для криптовалюты
  • Обменники цифровых валют
  • Сервисы майнинга криптовалюты
База знаниий и IT-технологии
  • Биткоин-фьючерсы
  • Стейкинг / Staking
  • Технология 5G
  • Робототехника
  • Даркнет / DarkNet
  • Децентрализация
  • Облачный майнинг
  • Машинное обучение
  • Альткоины / Altcoins
  • Цифровая экономика
  • Блокчейн / Blockchain
  • Квантовый компьютер
  • Интернет вещей / IoT
  • Стейблкоины / Stablecoins
  • Метавселенная / Metaverse
  • Большие данные / Big Data
  • QR-код / Quick Response Code
  • Искусственный интеллект / AI
  • Фиатные деньги / Фиатная валюта
  • NFT / Невзаимозаменяемые токены
  • Децентрализованные финансы / DeFi
  • Двухфакторная аутентификация / 2FA
  • Нейронные сети / Искусственные нейроны
  • Государственные цифровые валюты / CBDC
Обзоры ведущих криптовалют
  • Bitcoin (BTC) / Биткоин
  • Ethereum (ETH) / Эфириум
  • Binance Coin (BNB) / Бинанс коин
  • Cardano (ADA) / Кардано
  • Polkadot (DOT) / Полкадот
  • Solana (SOL) / Солана
  • Ripple (XRP) / Рипл
  • Tether (USDT) / Тезер
  • Цифровой рубль / Крипторубль
Криптовалютная биржа Binance

Риск взлома SMS-аутентификации ваших криптовалютных кошельков и бирж

by Mining-Cryptocurrency.ru 10 января, 2018 1 Comment
Hack crypto auntificator

Как считают многие представители криптосообщества, настоящее время можно назвать эрой “цифровых 90-ых”, где бизнесменов похищают за выкуп, силовики изымают оборудование и криптовалюты у подозреваемых или свидетелей, а хакеры в любой момент могут воспользоваться уязвимостями новых систем.

Именно поэтому Максим Тарасенко (White Hat Community Director в проекте Hacken и основателя форума по кибербезопасности HackIT) — подготовил материал, в котором раскрыты основные риски использования SMS-аутентификации, которые грозят держателям биткоина и других криптовалют.

Отрасль информационной безопасности развивается семимильными шагами, но и киберпреступники с кибермошенниками не стоят на месте. Сегодня я попробую рассказать о том, почему SMS-аутентификация и телефоны — это то, от чего криптотрейдерам и криптобизнесменам, да и любым адекватным людям с высокой потребностью к конфиденциальности, стоит держаться подальше, и почему SMS-аутентификации пора умереть. Мое мнение субъективно и основывается на личном опыте. Я не претендую на истину в последней инстанции, но надеюсь, что полученная информация будет полезна читателям, поскольку она особенно актуальна в свете последних событий.

На мой взгляд, сегодня в области информационной безопасности задействовано множество так называемых специалистов, экспертов и разного рода профессионалов, которые еще в 90-ые работали на перфокартах. Мне 26, и я работаю в информационной безопасности с 14-15 лет, успел поработать в СБУ, создать свою компанию в сфере информационной безопасности (далее ИБ), запустить хакерскую конференцию и даже поучаствовать в запуске криптовалюты для хакеров.

Не так давно я решил полностью перейти на иностранные номера в мессенджерах, сменил на зарубежные все телефоны для восстановления различного рода доступов и отвязал SMS-аутентификацию везде, где это возможно. То же самое мы делаем для всех наших клиентов. Это всегда вызывает целый ряд вопросов и просьб рассказать об этом подробнее.

Навигация по материалу:

  • 1 Варианты получения доступа к вашим аккаунтам через SMS-аутентификацию
  • 2 Прослушка
  • 3 Дублирование (клонирование SIM-карт)
  • 4 Ложная базовая станция
  • 5 Взлом персонального кабинета абонента на сайте
  • 6 Защита

Варианты получения доступа к вашим аккаунтам через SMS-аутентификацию

Итак, риски перехвата SMS состоят в том, что злоумышленник, перехватив сообщение, способен завладеть вашими цифровыми аккаунтами, где номер телефона используется в качестве одной из форм аутентификации или восстановления доступа.

Основные варианты:

  • Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
  • Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
  • Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
  • Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

Теперь рассмотрим подробно каждый из рисков:

Прослушка

Негласные следственные действия, предусмотренные главой 21 Криминально-процессуального кодекса (КПК) Украины, помимо прочего включают в себя “Снятие информации с транспортных телекоммуникационных систем”, что в простонародье и называется прослушкой. В РФ это соответствует статье 186 УПК — “Контроль и запись переговоров”. Во всем мире действуют схожие нормы проведения прослушки.

Разрешение на проведение прослушки дается в следующих случаях:

  • по уголовным делам;
  • по контрразведывательным делам;
  • в рамках внешней разведки.

Субъектами, которым разрешено использовать прослушку, являются правоохранительные органы, правоохранительные органы специального назначения (спецслужбы) и службы внешней разведки.

Прослушка в Украине и в большинстве стран проводится только по тяжким преступлениям. “Тяжкое преступление” в Украине соответствует статье, которая предполагает срок лишения свободы подозреваемого от 5 лет. Например, 212 ККУ “Уклонение от уплаты налогов” — это не тяжкая статья и прослушку по такому делу получить невозможно.

Отмечу, что подробности о формах и методах проведения негласных следственных действий относятся к информации с ограниченным доступом, за разглашение которой предусмотрена уголовная ответственность, так что я буду опираться только на публично доступную информацию и на зарубежные аналоги.

Суровые реалии правоохранительной системы в странах постсоветского пространства показывают крайне высокий уровень коррупции среди правоохранителей. Выражение “все покупается и все продается”, к сожалению, актуально и в этой сфере. Силовики используют обыски, изъятия и прослушку как одну из форм давления на бизнес, а иногда и для откровенного рейдерства и грабежа. Иногда дело просто в политике. Так появилась история о том, как ФСБ Telegram взломало, в которую многие до сих пор верят. Ниже я опишу пример подобного “взлома”.

Давайте разберемся в этом деле на очень простом примере. Следователь А заводит уголовное дело по выдуманному заявлению Гражданина Ш о якобы мошенничестве на доске объявлений в интернете. Гражданин Ш утверждает, что неизвестный ему мошенник запросил у него предоплату за покупку IPhone 7 на кошелек QIWI, привязанный к номеру телефона +38 093…, получил деньги и ушел в закат. Следователь А классифицирует данное действие по статье 190 ч.3 УК Украины “Мошенничество с использованием ЭВМ”.

В рамках уголовного дела Следователь А получает разрешение от следственного судьи на проведение негласных следственных действий. Далее некий “неизвестный” перехватывает SMS на указанном номере и восстанавливает доступ к почте Gmail Свидетеля К, которому на самом деле принадлежит номер +38093… Дальше магическим образом “неизвестная личность”, используя форму восстановления пароля на бирже, получает полный контроль над финансами Свидетеля К и тоже “уходит в закат”.

Гражданина Ш внезапно заявляет, что ему удалось полюбовно уладить конфликт с обидчиком. Следователь А закрывает уголовное дело в связи с отсутствием состава преступления (есть много вариантов, как еще это сделать). Свидетель К, обнаружив пропажу крипты, пишет заявление в полицию о пропаже, но получает отказ о внесении данных в единый реестр досудебного расследования, так как криптовалюта — не деньги, актив или товар, и украсть ее с точки зрения УПК невозможно. В этом случае адвокаты советуют Свидетелю К написать заявление о факте взлома почты (биржи, кошелька). Далее следствие заходит в тупик.

Если вы считаете, что двухфакторная авторизация в Telegram точно защитит вашу переписку, то вы ошибаетесь. Помните, что новые и новые схемы создаются каждый день, и безопасность всей системы характеризуется безопасностью самого слабого звена в ней.

Дублирование (клонирование SIM-карт)

Большинство сотовых компаний при процедуре восстановления утерянной или украденной SIM-карты требует копию паспорта (редко сверяют с оригиналом) и 2-3 последних исходящих или входящих SMS. Кроме этого, в колл-центрах крупных компаний работают “заскриптованные люди”, у которых нет времени все перепроверять, они просто действуют по инструкции.

Про эту схему уже писали тут. На конкретном примере: злоумышленнику каким-то образом удалось заполучить скан вашего паспорта (университет, работа, больница, интернет). Скан можно заказать в любом подобном магазине паспортов или на старом добром форуме для начинающих хакеров (внимание, магазин и форум указан только в качестве примера, это не совет или призыв к действию).

После получения скана злоумышленник звонит вам под предлогом очень важного дела и просит вас перезвонить по любому поводу. Он повторяет просьбу несколько раз и вешает трубку под предлогом, к примеру, плохой связи. После этого он сохраняет данные о ваших последних звонках, идет к оператору, и с формулировкой “я паспорт забыл, но вот у меня есть копия” либо по “предварительной договоренности” с легкостью получает копию вашей SIM-карты, ответив на вопросы о последних исходящих или входящих звонках.

Дальше начинается классика с “восстановлением доступа”. Кроме этого, можно создать клон Telegram, например, как описано тут. Конкретно описанная в этом примере схема может не работать на практике, но аналоги до сих пор срабатывают. Особенно с любителями пересылать документы через социальные сети.

Ложная базовая станция

Тут старички с ухмылкой обычно начинают говорить “а где ж мошенники возьмут столько денег на дорогое оборудование” или “как же они расшифруют SMS”. Но правда состоит в том, что в интернете уже есть целые мануалы по поднятию ложной базовой станции для перехвата SMS с модемом из “моторолы” за 30 баксов и простеньким софтом, что было продемонстрировано еще в 2013 году.

Напомню, что в 2010 году стоимость кустарного оборудования для перехвата GSM действительно начиналась от 1500 до 5000 долларов США. Существует и более дорогое и труднодоступное оборудование, описанное в этой статье. Уже относительно давно есть довольно крупные проекты вроде OsmocomBB по изучению GSM-сетей и исследованию перехвата данных в GSM-сетях.

Давайте смоделируем пример. Вооружившись телефоном Motorola за 30 баксов, парой шнурков за 15 долларов и ноутбуком злоумышленник паркуется возле вашего дома, квартиры, коттеджа. Поднимает ложную сотовую станцию, перехватывает SMS, восстанавливает все необходимые доступы и “становится на лыжи”.

Конечно же, я описал упрощенную версию, на самом деле весь процесс выглядит как-то так с определенными “модификациями” и, как правило, требует подготовки всей инфраструктуры заранее. Важно предупредить, что в примере описывался концепт развертывания собственной базовой станции без взаимодействия с реальной системой. В реальности все было бы еще сложнее, однако общая тенденция подверженности сотовых операторов подобным атакам видна тут.

Взлом персонального кабинета абонента на сайте

Возникают ситуации, когда сотовые операторы, экономя на безопасности своих сервисов, допускают возможность взлома собственных сайтов или приложений с так называемым “личным кабинетом абонента”, в которых, как правило, имеется очень широкий функционал — от приема SMS прямо на сайте до управление балансом пользователя.

Есть реальный пример одного сотового оператора Украины, допустившего возможность привязки произвольного номера, или забавная история с российским оператором. Все это иллюстрирует отношение операторов к информационной безопасности.

Иногда можно прикинуться “чайником” и попросить настроить личный кабинет прямо в салоне связи для бабули, которая телефон забыла дома, но у злоумышленника, к примеру, внезапно под рукой оказалась копия ее паспорта. Суть проста: после завладения личным кабинетом пользователя можно изменить маршрутизацию звонков и SMS и перенаправить их на номер злоумышленника.

Защита

Как защитится от описанных рисков и почему в начале статьи я писал именно про зарубежные SIM-карты?

Нашим клиентам мы запрещаем использовать в качестве номера восстановления доступа к важной информации основной телефон. Это должен быть обязательно другой номер, купленный специально под эти цели, никогда не вставленный ни в один из используемых телефонов в Украине (чтобы нельзя было найти и связать по IMEI). Этот телефон должен лежать в сухом, прохладном и недоступном для обысков месте, включаться и пополняться раз в 2-3 месяца, чтобы избежать возможности перевыпуска SIM-карты оператором по причине долгого неиспользования.

Мы рекомендуем никогда не включать такой номер в стране постоянной дислокации и активировать сервисы, привязанные на этот номер, где-то за рубежом. Это связано с особенностью работы сотовых операторов и проведения прослушки.
Если злоумышленник не знает вашего номера восстановления, ему сложнее будет определить цель, которой нужно завладеть. Поэтому один номер должен быть для соцсетей и совсем другой — для восстановления Gmail и финансовых платежных инструментов.

В странах Европы, например, в Германии, уровень защиты персональных данных значительно выше, чем в странах СНГ, а значит комбинация с “пришел в салон и восстановил номер” не пройдет. Более того, можно попросить любого друга за рубежом (если такой есть), которому вы доверяете, оформить номер телефона для восстановления на его паспортные данные, и хранить SIM-карту у себя.

Основные риски и способы их нейтрализации я постарался максимально кратко вместить в рамках этой статьи. Вынужден предупредить, что вышеперечисленный список рисков не является исчерпывающим и именно для этого существуют компании, вроде ProtectMaster или целые маркетплейсы для хакеров, вроде Hacken.io, которые продумывают за вас модели угроз и рисков, составляют все возможные векторы атак, начиная от “силовиков”, заканчивая “хакерами” и даже тестируют безопасность ваших приложений.

Если вам был полезен материал, хотелось бы получить обратную связь в виде комментариев или вопросов. И подписывайтесь на наш канал в Телеграмм!

Официальный канал Mining-Cryptocurrency.ru в Telegram


The following two tabs change content below.
  • Автор материала
  • Последние новости мира криптовалют
Mining-Cryptocurrency.ru
Материал подготовлен редакцией сайта "Майнинг Криптовалюты", в составе: Главный редактор - Антон Сизов, Журналисты - Игорь Лосев, Виталий Воронов, Дмитрий Марков, Елена Карпина. Мы предоставляем самую актуальную информацию о рынке криптовалют, майнинге и технологии блокчейн. Отказ от ответственности: все материалы на сайте Mining-Cryptocurrency.ru имеют исключительно информативные цели и не являются торговой рекомендацией или публичной офертой к покупке каких-либо криптовалют или осуществлению любых иных инвестиций и финансовых операций.
Новости Mining-Cryptocurrency.ru (перейти к ленте всех новостей)
  • Инструкция: Как новичку купить биткоин на крипто-бирже за рубли? - 17.05.2024
  • Binance Earn — как получать пассивный доход от хранения криптовалюты на бирже Binance? - 17.05.2024
  • Обменник криптовалют Dmoney.cc — выгодные обмены, которым можно доверять - 17.05.2024
  • Что такое стейкинг и как получать пассивный доход от криптовалют? - 26.12.2022
  • Конфискация криптовалюты в России: как работает механизм изъятия криптоактивов? - 26.12.2022

Безопасность и уязвимости

  • Previous Российским чиновникам разрешили не декларировать доходы в криптовалюте7 лет ago
  • Next В Москве пройдет “Криптовечеринка”, 31 января в клубе Maybe (экс. “Крыша мира”)7 лет ago
  1. [email protected] -пишите,поможем:
    07.12.2021 в 01:08

    Мне тут помогли, спасибо.

    Ответить

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Криптовалютная биржа Binance
Криптовалютные игры
Name Price24H (%)
bitcoin
Bitcoin(BTC)
$104,682.00
-2.70%
ethereum
Ethereum(ETH)
$2,511.30
-8.88%
ripple
XRP(XRP)
$2.13
-5.28%
binancecoin
BNB(BNB)
$654.52
-2.11%
solana
Solana(SOL)
$144.63
-9.46%
dogecoin
Dogecoin(DOGE)
$0.173986
-8.33%
tron
TRON(TRX)
$0.273325
-0.53%
cardano
Cardano(ADA)
$0.63
-7.98%
chainlink
Chainlink(LINK)
$13.17
-8.86%
bitcoin-cash
Bitcoin Cash(BCH)
$414.57
-3.02%
stellar
Stellar(XLM)
$0.257827
-6.68%
shiba-inu
Shiba Inu(SHIB)
$0.000012
-8.57%
litecoin
Litecoin(LTC)
$83.50
-6.90%
monero
Monero(XMR)
$314.06
-3.83%
polkadot
Polkadot(DOT)
$3.79
-6.85%
ethereum-classic
Ethereum Classic(ETC)
$16.32
-8.07%
vechain
VeChain(VET)
$0.022159
-9.30%
cosmos
Cosmos Hub(ATOM)
$4.05
-7.88%
algorand
Algorand(ALGO)
$0.175086
-9.49%
zcash
Zcash(ZEC)
$45.75
-5.17%
theta-token
Theta Network(THETA)
$0.69
-10.45%
iota
IOTA(IOTA)
$0.166606
-9.74%
tezos
Tezos(XTZ)
$0.55
-8.70%
flow
Flow(FLOW)
$0.345142
-7.51%
decentraland
Decentraland(MANA)
$0.258773
-8.27%
compound-governance-token
Compound(COMP)
$51.67
-8.28%
eos
EOS(EOS)
$0.54
-11.55%
neo
NEO(NEO)
$5.52
-9.64%
matic-network
Polygon(MATIC)
$0.201388
-9.30%
dash
Dash(DASH)
$22.77
2.89%
Криптовалютная биржа Binance
Криптовалютная биржа №1 в мире
Copyright © 2017-2024. Все права защищены.
О сайте «Майнинг Криптовалюты»
Наши контакты: [email protected]
Политика конфиденциальности и ответственности
Криптовалютный сервис
Информационный портал «Майнинг Криптовалюты».