• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

СИ в действии))

Gh}{gNl78@

Юнга
Читатель
Регистрация
29.05.17
Сообщения
38
Онлайн
1ч 59м
Сделки
0
Нарушения
0 / 0
В своем блоге американский iOS-разработчик Джастин Уильямс (Justin Williams) рассказал о неприятной истории, произошедшей с ним на прошлой неделе. Неизвестные мошенники сумели похитить средства с PayPal-аккаунта Уильямса, защищенного двухфакторной аутентификацией, и случилось это из-за халатности одного из сотрудников AT&T.

Разработчик рассказывает, что в четверг, 6 июля 2017 года, неизвестный злоумышленник несколько раз позвонил в поддержку AT&T и просил операторов колл-центра переключить на него аккаунт Уильямса. Сначала сотрудники оператора связи не поверили мошеннику, который не знал даже секретного кода, и заблокировали поступившие от него запросы. Однако чуть позже кто-то из сотрудников AT&T смягчился и, нарушив правила, согласился переназначить номер на новую SIM-карту, как просил злоумышленник. После этого атакующий получил возможность перехватывать текстовые сообщения и звонки, поступающие на номер Уильямса, со своего телефона.

В результате мошенник воспользовался функцией сброса пароля в PayPal, которая защищена двухфакторной аутентификацией. Так как перехватить SMS-сообщение с кодом для злоумышленника не составляло труда, он получил полный контроль над учетной записью разработчика.

Уже вечером четверга Уильямс заметил, что происходит нечто странное: его телефон перестал подключаться к сети оператора, демонстрируя ошибку «нет сети».

«Я перезагрузил телефон. Не помогло. Сбросил настройки сети и настройки iOS. По-прежнему никакого результата. Тогда я проверил iPad, который ношу с собой и держу в нем SIM-карту. iPad по-прежнему “видел” сеть, что уже выглядело интересно. Но в этот момент я все еще винил в происходящем iOS 11, потому что я разработчик ПО, и мы всегда виним ПО», — рассказывает Уильямс.

Ситуация прояснилась, когда пострадавший проверил почту и обнаружил там сообщение от PayPal, согласно которому кто-то уже перевел $200 на другой счет. Убедившись, что письмо не фишинговое и исключив возможность компрометации со стороны банка, Уильямс наконец понял, что произошло и принялся звонить в AT&T.

«Человек на другом конце провода проверил записи и объяснил мне, что, да, кто-то весь день звонил в колл-центр AT&T и пытался завладеть моим номером, но получал отказы, так как не знал секретный код. Пока кто-то не нарушил правила, не спросив секретный код», — пишет пострадавший.

В итоге Уильямсу удалось деактивировать телефон и получить новую SIM-карту. Также он немедленно открыл спор в PayPal, стремясь отменить мошенническую транзакцию, однако разработчик признает, что здесь «прогнозы не слишком оптимистичные, потому что PayPal ужасен».

Случившееся не только в очередной раз доказывает, что одной из наиболее уязвимых частей любой системы является человек, но также подтверждает выводы ИБ-специалистов. Напомню, что еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
 

#Ledovskiy

Мичман
Писатель
Регистрация
08.02.17
Сообщения
419
Онлайн
3ч 58м
Сделки
0
Нарушения
0 / 2
Коротко о главном, можно?
 

Gh}{gNl78@

Юнга
Читатель
Регистрация
29.05.17
Сообщения
38
Онлайн
1ч 59м
Сделки
0
Нарушения
0 / 0
Если коротко, то мошенник смог убедить работника AT&T, что он имено Джастин Уильямс и хочет сменить номер мобилы для двухфакторной аутентификации в PayPal, после чего увели бабло с его акка))
 
Сверху