Банк присылает код подтверждения. Вы его ещё не открыли.
А кто-то уже прочитал.
Не взламывал телефон. Не устанавливал вирус. Не знает ваш пароль. Просто воспользовался уязвимостью которая существует в мобильной связи с 1970-х годов — и до сих пор не закрыта.
Называется SS7. И это реальная проблема, о которой знают все операторы. И которую никто полностью не исправил.
Что такое SS7 и почему это важно
SS7 — протокол сигнализации. Система правил по которым операторы связи по всему миру договариваются между собой. Маршрутизация звонков, передача SMS, роуминг — всё это работает через SS7.
Разработали его в 1970-х годах. Тогда мобильной связи не существовало. Интернета не существовало. Угроз которые есть сейчас — не существовало. Безопасность в протокол не закладывали вообще: считалось что доступ к сети SS7 есть только у операторов, а операторы друг другу доверяют.
Сейчас это не так. Доступ к SS7-сети можно купить. Или получить через коррумпированного сотрудника оператора в одной из стран. Или взломать небольшого оператора у которого есть роуминговое соглашение с крупными.
В 2014 году немецкие исследователи Карстен Нол и Тобиас Энгель публично показали как работают атаки через SS7. Прослушать звонок. Перехватить SMS. Отследить местоположение абонента в любой точке мира — зная только его номер телефона.
С тех пор прошло больше десяти лет. Уязвимость никуда не делась.
Как перехватывают SMS с кодами
Схема простая. Злоумышленник получает доступ к сети SS7 — или покупает его у тех кто уже имеет. Дальше — техническая операция занимающая минуты.
Он отправляет через SS7 команду: «абонент с таким-то номером теперь обслуживается через меня». Сеть перенаправляет входящие сообщения через его узел. SMS с кодом подтверждения от банка приходит к нему — а потом уже к вам. С задержкой в несколько секунд. Вы ничего не замечаете.
Главный эксперт Лаборатории Касперского Сергей Голованов подтвердил: атаки SS7 позволяют перехватывать голосовой трафик, SMS и иногда веб-трафик. Злоумышленники могут получить одноразовый код двухфакторной аутентификации который банк присылает по SMS.
В 2021 году в даркнете появилось объявление о продаже доступа к коммутатору неизвестного оператора — за 30 тысяч долларов в биткоинах. Компания DeviceLock, занимающаяся борьбой с утечками данных, зафиксировала это предложение и сообщила в прессу. Наибольший интерес к покупке проявляли русскоязычные злоумышленники.
Кого атакуют
Не всех подряд. Атака через SS7 — это точечный инструмент. Требует усилий и доступа к сети. Массово так не работают.
Цель — конкретный человек у которого есть что взять. Схема обычно такая: сначала узнают банковские реквизиты жертвы — через фишинг, утечку данных или вредоносное приложение. Потом перехватывают SMS с кодом подтверждения транзакции. И переводят деньги.
Немецкая газета Süddeutsche Zeitung в 2017 году опубликовала расследование о реальных кражах денег с банковских счетов именно через SS7. Не теория — документально подтверждённые случаи.
В России атаки фиксировались на пользователей Telegram — перехват кода подтверждения при входе в аккаунт. Это дешевле и проще чем банковская атака, но тоже работает.
Почему операторы не закрыли дыру
Хороший вопрос. Знают все. Закрыли не все.
Проблема в архитектуре. SS7 работает потому что все операторы в мире используют его для совместимости — роуминг, переадресация, переносимость номеров. Отказаться от SS7 значит отрезать себя от международной связи.
Современные сети 4G и 5G используют более защищённые протоколы. Но 2G и 3G никуда не делись — они нужны для покрытия в труднодоступных местах и как запасной канал. А совместимость с ними требует поддержки SS7.
Представители ВТБ сообщили что в их банке принят комплекс мер не позволяющий использовать перехват SMS для доступа к счетам. Для входа в интернет-банк недостаточно одного кода — нужен ещё логин и пароль.
Но не все банки и сервисы настолько защищены.
Что реально защищает
SMS как второй фактор — слабая защита. Это признают все эксперты. Если ваш банк или сервис присылает одноразовый код только по SMS — это уязвимо.
Что надёжнее: приложения-аутентификаторы. Google Authenticator, Яндекс Ключ, любой TOTP-генератор. Код генерируется прямо на вашем телефоне — без SMS, без сети. Перехватить нечего.
Биометрия — отпечаток пальца или лицо — тоже лучше чем SMS. Данные не покидают телефон.
Если банк предлагает выбор между SMS-кодом и приложением-аутентификатором — выбирайте приложение. Это займёт пять минут на настройку. И закроет целый класс атак.
Ещё один момент. Если вам неожиданно отключилась мобильная связь — телефон показывает «нет сети» или «только экстренные вызовы» — это может быть признаком атаки. Злоумышленник мог переключить ваш номер на свой узел. В таком случае немедленно позвоните оператору с другого телефона и проверьте счёт в банке.
Знали про уязвимость SS7 раньше? Используете приложение-аутентификатор или получаете коды по SMS? Напишите в комментариях.