В своем блоге американский iOS-разработчик Джастин Уильямс (Justin Williams) рассказал о неприятной истории, произошедшей с ним на прошлой неделе. Неизвестные мошенники сумели похитить средства с PayPal-аккаунта Уильямса, защищенного двухфакторной аутентификацией, и случилось это из-за халатности одного из сотрудников AT&T. Разработчик рассказывает, что в четверг, 6 июля 2017 года, неизвестный злоумышленник несколько раз позвонил в поддержку AT&T и просил операторов колл-центра переключить на него аккаунт Уильямса. Сначала сотрудники оператора связи не поверили мошеннику, который не знал даже секретного кода, и заблокировали поступившие от него запросы. Однако чуть позже кто-то из сотрудников AT&T смягчился и, нарушив правила, согласился переназначить номер на новую SIM-карту, как просил злоумышленник. После этого атакующий получил возможность перехватывать текстовые сообщения и звонки, поступающие на номер Уильямса, со своего телефона. В результате мошенник воспользовался функцией сброса пароля в PayPal, которая защищена двухфакторной аутентификацией. Так как перехватить SMS-сообщение с кодом для злоумышленника не составляло труда, он получил полный контроль над учетной записью разработчика. Уже вечером четверга Уильямс заметил, что происходит нечто странное: его телефон перестал подключаться к сети оператора, демонстрируя ошибку «нет сети». «Я перезагрузил телефон. Не помогло. Сбросил настройки сети и настройки iOS. По-прежнему никакого результата. Тогда я проверил iPad, который ношу с собой и держу в нем SIM-карту. iPad по-прежнему “видел” сеть, что уже выглядело интересно. Но в этот момент я все еще винил в происходящем iOS 11, потому что я разработчик ПО, и мы всегда виним ПО», — рассказывает Уильямс. Ситуация прояснилась, когда пострадавший проверил почту и обнаружил там сообщение от PayPal, согласно которому кто-то уже перевел $200 на другой счет. Убедившись, что письмо не фишинговое и исключив возможность компрометации со стороны банка, Уильямс наконец понял, что произошло и принялся звонить в AT&T. «Человек на другом конце провода проверил записи и объяснил мне, что, да, кто-то весь день звонил в колл-центр AT&T и пытался завладеть моим номером, но получал отказы, так как не знал секретный код. Пока кто-то не нарушил правила, не спросив секретный код», — пишет пострадавший. В итоге Уильямсу удалось деактивировать телефон и получить новую SIM-карту. Также он немедленно открыл спор в PayPal, стремясь отменить мошенническую транзакцию, однако разработчик признает, что здесь «прогнозы не слишком оптимистичные, потому что PayPal ужасен». Случившееся не только в очередной раз доказывает, что одной из наиболее уязвимых частей любой системы является человек, но также подтверждает выводы ИБ-специалистов. Напомню, что еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное». Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.
Если коротко, то мошенник смог убедить работника AT&T, что он имено Джастин Уильямс и хочет сменить номер мобилы для двухфакторной аутентификации в PayPal, после чего увели бабло с его акка))
