Февраль 2019. В британском розничном банке Metro Bank обнаружена серьезная проблема: кто-то получил доступ к конфиденциальной информации о клиентах. А если более конкретно, то вторжение происходит в тот момент, когда клиент получает на свой мобильный телефон специальный код для выполнения какой-либо операции (например, код безопасности для входа в онлайн-банк или подтверждения выполнения финансовой операции).

Metro Bank обнаружил, что именно в этот момент происходило потенциальное нарушение данных, когда код мог попасть в руки кибер-преступника, что приводило к реальной опасности и проблемам в информационной безопасности клиентов банка. Банк согласился с наличием уязвимости, но заявил, что это не единичный случай. Фактически, это уже не первая финансовая организация, которую коснулась данная уязвимость. Но это первый банк, который признал ее.

Действительно, такое происходит уже не в первый раз. В мае прошлого года сенатор США Рон Уайден утверждал, что крупный телекоммуникационный оператор подвергся очень похожей кибер-атаке. В результате данной атаки конфиденциальные данные клиентов и пользователей стали доступны кибер-преступникам, которым даже не требовались огромные знания и опыт в данной области, чтобы заполучить в свои руки данную информацию. Таким образом, эта уязвимость является достаточно распространенной, причем ее не так сложно использовать.

Проблема с SS7

В чем же заключается проблема? Ответ – это Signaling System 7 (SS7). Данный протокол позволяет пользователям менять сеть и оператора, когда они путешествуют по свету и подключаются к различным сетям со своих мобильных телефонов. Данный протокол был создан в 1975 году, и с тех пор практически не обновлялся, а это означает, что на сегодняшний день он не обеспечивает достаточного уровня безопасности для тех, кто им пользуется.

Данная уязвимость становится еще более опасной в тех ситуациях, когда операторы и пользователи используют SS7 в процессах двухфакторной авторизации через мобильные телефоны. Хотя такой способ авторизации предлагает целый ряд гарантий информационной безопасности, он все же далек от непогрешимости. В этом случае уязвимость становится более очевидной, когда пользователь получает SMS с кодом для выполнения определенной операции. По данным Национального центра информационной безопасности Великобритании (NCSC) и телекоммуникационных операторов, эта SMS может легко попасть в руки кибер-преступников.

Последствия уязвимости

Дыра безопасности в протоколе SS7 не является пустяком, т.к. она может привести операторов, крупные компании и даже самих пользователей к очень тяжелым последствиям.

1. Кража информации. Клиенты Metro Bank уже увидели это в действии: получения доступа к SMS с кодом для выполнения какой-либо операции может быть достаточно для того, чтобы кибер-преступники смогли украсть их информацию или, в случае с выполнением финансовой операции, даже украсть деньги.

2. Шпионаж. Использование данной уязвимости не всегда означает кражу данных и информации, но ее могут эксплуатировать для интенсивного кибер-шпионажа. В этом случае пользователь может продолжать использовать свой сервис и выполнять требуемые операции, но при этом он не будет знать о том, что кто-то отслеживает все его действия.

3. Массовое применение. До недавнего времени такой вид кибер-преступлений, кажется, был ограничен крупными разведывательными спецслужбами. Однако, как призналось NCSC, уязвимость такова, что она стала доступна для кибер-преступников с намного более низким техническим уровнем, а для ее использования требуются совсем небольшие бюджеты. Более того, тот факт, что данный протокол был создан более 40 лет назад, означает, что инциденты с новыми уязвимостями могут быть намного более масштабными.

4. Репутация и штрафы. Ни одна компания не хочет стать известной в результате угрозы информации своих клиентов. Этот ущерб для репутации также затрагивает и мобильных операторов, которые из-за SS7 понимают, что они не в состоянии гарантировать полную информационную безопасность для всех своих коммуникаций. Более того, потеря данных также может привести к значительным штрафам.

Как избежать рисков, связанных с SS7

Хотя компании, обеспокоенные своей корпоративной информационной безопасностью, не могут остановить существование уязвимостей в протоколе SS7, они могут управлять последствиями и сделать так, чтобы они не повлияли на их клиентов.

1. Сложные пароли. Если принять во внимание тот факт, что двухфакторная авторизация не гарантирует полной информационной безопасности, то компании могут выбрать другие методы аутентификации, которые не основаны на SMS, или, по крайней мере, ввести более сложные и меняющиеся пароли.

2. Мониторинг. Если кому-то удастся войти, крайне важно, чтобы компании имели возможность в любой момент времени проверить активность на своих корпоративных серверах и устройствах. Panda Adaptive Defense предлагает автоматический мониторинг всех процессов в системе и выполняет требуемые действия против потенциальных угроз до того момента, как они произойдут.

3. Обновления. Борьба с уязвимостями информационной безопасности бесконечна. Кибер-преступники всегда найдут новые способы для того, чтобы вызвать нарушения безопасности, которые позволят им получить в свои руки данные клиентов и пользователей. Вот почему так важно использовать решения подобные Patch Management . Он является дополнительным модулем для решения Adaptive Defense, который анализирует безопасность конечного устройства в реальном времени с целью обеспечения своевременных обновлений, необходимых для защиты от уязвимостей.

Таким образом, речь идет не об устранении какой-то внутренней проблемы, т.к. уязвимости в протоколе SS7 являются внешними проблемами для компаний. Что необходимо сделать – так это убедиться в том, что даже при использовании уязвимости она не повлияет на компанию и ее клиентов. Для этого, решения Panda Security способны предотвратить инциденты, сокращая поверхность атаки, вызванную уязвимостями, обеспечивая защиту компании от тех рисков, которые несут для них SS7 и другие подобные уязвимости.