Хакер #305. Многошаговые SQL-инъекции
В своем блоге американский iOS-разработчик Джастин Уильямс (Justin Williams) рассказал о неприятной истории, произошедшей с ним на прошлой неделе. Неизвестные мошенники сумели похитить средства с PayPal-аккаунта Уильямса, защищенного двухфакторной аутентификацией, и случилось это из-за халатности одного из сотрудников AT&T.
Разработчик рассказывает, что в четверг, 6 июля 2017 года, неизвестный злоумышленник несколько раз позвонил в поддержку AT&T и просил операторов колл-центра переключить на него аккаунт Уильямса. Сначала сотрудники оператора связи не поверили мошеннику, который не знал даже секретного кода, и заблокировали поступившие от него запросы. Однако чуть позже кто-то из сотрудников AT&T смягчился и, нарушив правила, согласился переназначить номер на новую SIM-карту, как просил злоумышленник. После этого атакующий получил возможность перехватывать текстовые сообщения и звонки, поступающие на номер Уильямса, со своего телефона.
В результате мошенник воспользовался функцией сброса пароля в PayPal, которая защищена двухфакторной аутентификацией. Так как перехватить SMS-сообщение с кодом для злоумышленника не составляло труда, он получил полный контроль над учетной записью разработчика.
Уже вечером четверга Уильямс заметил, что происходит нечто странное: его телефон перестал подключаться к сети оператора, демонстрируя ошибку «нет сети».
«Я перезагрузил телефон. Не помогло. Сбросил настройки сети и настройки iOS. По-прежнему никакого результата. Тогда я проверил iPad, который ношу с собой и держу в нем SIM-карту. iPad по-прежнему “видел” сеть, что уже выглядело интересно. Но в этот момент я все еще винил в происходящем iOS 11, потому что я разработчик ПО, и мы всегда виним ПО», — рассказывает Уильямс.
Ситуация прояснилась, когда пострадавший проверил почту и обнаружил там сообщение от PayPal, согласно которому кто-то уже перевел $200 на другой счет. Убедившись, что письмо не фишинговое и исключив возможность компрометации со стороны банка, Уильямс наконец понял, что произошло и принялся звонить в AT&T.
«Человек на другом конце провода проверил записи и объяснил мне, что, да, кто-то весь день звонил в колл-центр AT&T и пытался завладеть моим номером, но получал отказы, так как не знал секретный код. Пока кто-то не нарушил правила, не спросив секретный код», — пишет пострадавший.
В итоге Уильямсу удалось деактивировать телефон и получить новую SIM-карту. Также он немедленно открыл спор в PayPal, стремясь отменить мошенническую транзакцию, однако разработчик признает, что здесь «прогнозы не слишком оптимистичные, потому что PayPal ужасен».
Случившееся не только в очередной раз доказывает, что одной из наиболее уязвимых частей любой системы является человек, но также подтверждает выводы ИБ-специалистов. Напомню, что еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
Фото: Depositphotos