OTP-via-SMS

Многие банки используют одноразовые пароли для аутентификации пользователей интернет-банкинга. Чаще всего одноразовые пароли (One-Time Password — OTP) отправляют пользователям через SMS. Специалисты называют такой способ аутентификации двухфакторным, так как помимо логина и пароля пользователь должен ввести полученный OTP-код.

Количество пользователей, использующих смартфоны, растет. Однако рост популярности смартфонов открывает для хакеров новые возможности, которые компрометируют схему аутентификации OTP via SMS.

Используете смартфон? Хакеры скажут вам спасибо...

Пока не было смартфонов — в мобильных телефонах не было вирусов. Смартфоны отличаются от простых мобильных телефонов не только большим сенсорным экраном, отсутствием кнопок и наличием камер. Основное отличие заключается в том, что на смартфоны можно устанавливать дополнительные программы — игры, WhatsApp, Telegram, WeChat, Viber, Skype, веб-браузеры, банковские приложения и так далее. 95% функциональных возможностей смартфонов не связаны со звонками и SMS-сообщениями. С технической точки зрения смартфон правильнее называть портативным 0носимым компьютером с сенсорным экраном, который предназначен для работы в интернете и имеет встроенный GSM-модуль.

«Любое устройство, подключенное к интернету, является потенциальным объектом успешной хакерской атаки». Хакеры используют функциональные возможности смартфонов в своих целях — они взламывают смартфоны, используя многочисленные уязвимости, и незаметно устанавливают на них вредоносные программы (трояны, кейлогеры, программы-шпионы и пр.), которые в обиходе чаще всего называют просто «вирусами». После этого они могут получить полный удаленный контроль над вашим смартфоном: подслушивать ваши разговоры, совершать и блокировать звонки, читать сообщения в мессенжерах и электронной почте, просматривать список контактов и события в вашем календаре, тайно читать, отправлять, перехватывать и удалять SMS-сообщения, определять ваше местоположение с помощью датчика GPS, делать тайные снимки с камер, отслеживать вашу интернет-активность. Можно найти множество примеров таких хакерских атак.

Но если вы используете Интернет-банкинг или Мобильный-банкинг, прежде всего мошенники постараются украсть ваши логины и пароли, чтобы украсть ваши деньги. Мошенники могут украсть логины и пароли не только со смартфона, но и с любого endpoint-web-терминала — персонального компьютера, планшета, ноутбука. Часто для кражи логинов и паролей они используют методы социальной инженерии. После этого для кражи ваших денег им останется получить актуальный OTP-код.

Если SIM-карта с номером M1, на который вы получаете OTP-коды, установлена в смартфоне, задача мошенников по краже ваших денег уже решена. После кражи OTP-кода вредоносная программа («вирус») будет блокировать звонки и удалять SMS-сообщения от вашего банка, чтобы банк не мог вас оповестить, а вы не смогли получить предупреждения и заблокировать счет.

UTMT против хакеров

Кража OTP-кода с вашего мобильного телефона станет невозможной, если SIM-карта с номером M1, на который вы получаете OTP-коды, будет установлена в самый простой и бюджетный мобильный телефон, который не поддерживает соединения с интернетом. Такие телефоны не поддерживают стандарты 3G, 4G, Wi-Fi, GPRS, EDGE и технологию Java. Технически они относятся к поколению 2G — то есть предназначены только для звонков и SMS (GSM phase 2). Такие бюджетные телефоны часто называют «пустышками». Как правило они реализованы в виде компактных кнопочных моноблоков. Автор предлагает называть такие модели ультра-тонкими мобильными терминалами — Ultra-Thin Mobile Terminal (UTMT) [в соответствии с терминологией GSM (MT — Mobile Terminal) и по аналогии с архитектурой тонких клиентов и ультра-тонким терминалом Sun Ray].

Хакерские атаки на UTMT-телефоны технически невозможны — их нельзя подключить к интернету и на них нельзя установить новые программы. Это исключает возможность удаленного управления и удаленной кражи OTP-кода c UTMT-телефона. Управлять UTMT-телефоном может только тот, кто держит его в руках. Попытка реализовать хакерскую атаку на UTMT-телефон эквивалентна попытке удаленно взломать настольный бухгалтерский калькулятор.

Поэтому, в отличие от смартфона, UTMT-телефон обеспечивает вам надежный канал связи (GSM) с вашим банком, на который исключено удаленное воздействие.

Если ваша SIM-карта будет установлена в UTMT-телефон, для кражи OTP-кода с этого номера хакерам потребуется специальное оборудование — GSM-сканеры или ложные базовые станции. Задача получения OTP-кода для них усложнится в сотни раз — взлом смартфона никак не влияет на UTMT-телефон, который имеет абсолютную стойкость к хакерским атакам.

Если у вас на счету нет миллионов, вероятность целевой хакерской атаки на вас стремится к нулю. Когда хакеры поймут, что вы не используете смартфон для получения OTP-кодов, они, скорее всего, переключатся на других (более беспечных) пользователей интернет-банкинга.

Выделите один мобильный номер для получения OTP-кодов от вашего банка и установите SIM-карту с этим номером в UTMT-телефон. Это обеспечит большую сохранность ваших денег.

Преимущества

— Новые модели UTMT-телефонов нужно заряжать 1 раз в 10-12 дней. Поэтому комбинация Смартфон + UTMT-телефон обеспечит вам более надежную связь и большее удобство, чем один или даже два смартфона. Обычному пользователю два смартфона не нужны — для веб-серфинга достаточно одного. Когда батарея вашего смартфона разрядится, простой телефон позволит вам оставаться на связи. Еще больший эффект от использования UTMT-телефонов почувствуют владельцы планшетов.

— Носить два телефона неудобно, но носить с собой UTMT-телефон практичнее, чем зарядку для смартфона.

— Если вы занимаетесь экстремальными видами спорта, UTMT-телефон сохранит вам много смартфонов! ;)

— Простой телефон не будет привлекать ненужного внимания в неблагополучных районах, в общественном транспорте и поздно ночью на улице.

UTMT-телефоны продолжают выпускать многие производители. Операторы предлагают их владельцам планшетов и смартфонов в качестве «дополнительного устройства для звонков». В качестве UTMT-телефона можно использовать, например, Nokia 130, Samsung E1200, Philips E160, Alcatel OT E801, Alcatel One Touch 1013D и другие модели.

Недостатки и способы их устранения

Носить с собой два телефона неудобно. К сожалению, реалии таковы, что вам придется выбирать между Удобством и Безопасностью. Стоимость UTMT-телефона не превышает стоимости чехла для смартфона.

В случае взлома вашего смартфона хакеры постараются украсть больше.

Если у вас нет необходимости совершать online-платежи «на бегу», вы можете хранить ваш UTMT-телефон дома или на работе — рядом с вашим компьютером, который вы используете для работы с интернет-банкингом. Бухгалтеры могут хранить UTMT-телефон в сейфе — это обеспечит еще большую безопасность.

Все вышеизложенное вы можете также использовать для защиты ваших учетных записей в облачных сервисах — большинство популярных ресурсов (Gmail, Mail.ru, Yahoo, Facebook, vk.com и др.) используют OTP via SMS для аутентификации своих пользователей.

Безопасность ваших денег и цифровой собственности требует вашего содействия.

http://profit.kz/articles/7180/Tehnika-bezopasnosti-dlya-polzovatelej-internet-bankinga/