Обеспечение безопасности по праву считается серьезным вызовом для современного бизнеса, ведь технологический прогресс подарил множество инструментов не только бизнесу, но и преступникам. Злоумышленники, обладающие компьютерными знаниями, более чем способны адаптироваться к новым технологиям и подходам, используя их в своих целях: зачастую они мгновенно изобретают новые методы мошенничества, как только профессионалы в области безопасности придумывают способ противостоять их текущим приемам.
Естественно, правительство, регулирующие органы и профессиональные организации заинтересованы в разработке инициатив по защите компаний и их клиентов. Они могут иметь широкий спектр последствий, которые касаются всех.
Возьмем, к примеру, GDPR: постановление Европейского Союза, цель которого дать пользователям возможность выбирать, как компании обрабатывают и используют их персональные данные. Идея заключалась в том, чтобы гарантировать гражданам Европы безопасность и конфиденциальность, обеспечив контроль над тем, как информация о них используется, и кто имеет к ней доступ. Нарушение этих норм уже привело к рекордным штрафам.
GDPR спровоцировал глобальные изменения в том, как веб-сайты собирают пользовательские данные (или, по крайней мере, требует от них запрашивать согласие пользователей на сбор и обработку данных посетителей, если компании хотят вести бизнес в ЕС).
Аналогичный законодательный акт — Калифорнийский закон о защите прав потребителей (CCPA) — меньший по масштабу охватываемых территорий, но, возможно, еще более амбициозный в отношении персональных данных, вступающий в силу в штате Калифорния с 1 января 2020 года. Его последствия (и статус Калифорнии как самого густонаселенного штата) означают, что любая компания, работающая в США, должна будет придерживаться требований CCPA . Поэтому об этом документе говорят как о стандарте не только федерального, но и мирового уровня.
Задавая стандарты безопасности
Но какое это имеет отношение к безопасности? Этот вопрос возвращает нас к ЕС и его Директиве о платежных услугах, точнее — ее пересмотренной версии (PSD2), которая была введена в действие в январе 2018 года и вступила в полную силу в сентябре 2019 года.
Директива направлена на улучшение качества финансовых услуг, в частности, путем открытия сторонним поставщикам доступа к отрасли. Как следствие — повышенные требования к безопасности в форме Strong Customer Authentication (SCA). SCA обеспечивает безопасность учетных записей и данных пользователей, гарантируя, что у компаний есть инструменты, позволяющие убедиться, что клиенты являются теми, за кого они себя выдают (подробнее поясняется в материале J. P. Morgan Chase).
Проще говоря, компании обязаны использовать какую-либо форму двухфакторной аутентификации — ключевого элемента защиты учетных записей пользователей и клиентов. Хотя Директива о платежных услугах применима только к Европейскому экономическому пространству, принципы строгой аутентификации клиентов задают новый стандарт, который наверняка будет принят и в других странах, поскольку все больше стран и отраслей осознают важность защиты пользователей с помощью 2FA.
Последствия
Преступники адаптируются к каждому новому инструменту безопасности. Специалисты по кибербезопасности должны все время реагировать на возникающие угрозы, ведь злоумышленники постоянно меняют свой подход. Сама 2FA — это попытка компенсировать ненадежность паролей, цель которой — противостоять применению социальной инженерии и программного обеспечения для взлома паролей.
Поскольку PSD2 и SCA способствуют популяризации двухфакторной аутентификации среди компаний, число преступников, использующих любые способы, которые позволят обойти 2FA, будет расти пропорционально.
Проблема заключается в том, что двухфакторная аутентификация сама по себе не гарантирует 100% безопасности. Безусловно, такие учреждения, как Национальный институт стандартов и технологий США (NIST), признают ценность 2FA, но также они отмечают, что у двухфакторной аутентификации есть свои слабости (особенно — у ее текстовой формы). Это связано с тем, что преступники уже адаптировались, и борьба за безопасность пользователей переместилась на новое поле — от самих паролей к методам, используемым для подтверждения личности пользователя.
В этой борьбе есть два основных направления: мошенничество с перевыпуском SIM-карт и безопасность сетей, доставляющих одноразовые пароли (OTP) для 2FA.
Мошенничество с перевыпуском SIM-карт, по существу, означает подмену SIM-карты законного владельца учетной записи картой злоумышленника. В результате мошенники получают OTP, предназначенные владельцу счета. В качестве альтернативы злоумышленник может атаковать саму мобильную сеть для получения доступа и проведения так называемых «атак посредника» на любой трафик, проходящий через нее.
Эти два метода нарушения процесса аутентификации затрагивают разные заинтересованные стороны.
Повышая безопасность пользователей
В то время, как мобильные операторы хотят положить конец мошенничеству с перевыпуском SIM-карт (неся определенную ответственность в этой области), бренды хотят убедиться, что используемые ими 2FA-решения эффективны, а отправляемые ОТР не перехватываются. Здесь может помочь незаметная дополнительная проверка. Международный идентификатор мобильного абонента (IMSI) — уникальная комбинация из 14-15 цифр, ассоциированная с SIM-картой абонента, а не с его номером телефона (MSISDN), и хранящаяся на его SIM-карте. Таким образом, при перевыпуске SIM-карты абонента, IMSI новой карты будет другим, в отличие от привязанного к ней номера телефона.
Регистрируя IMSI, связанный с номером мобильного телефона, и впоследствии проверяя его при отправке 2FA-запроса, компании могут видеть, был ли номер перенесен на другую SIM-карту. Это является ключевым показателем того, что произошла замена SIM-карты, и предприятие должно аутентифицировать личность пользователя другим способом (и, желательно, предупредить его о возможном мошенничестве).
Защита сети
Второе уязвимое место — сетевая безопасность — обусловлено главным образом тем, как сообщения передаются. Большая часть современной мобильной связи все еще проходит по SS7-соединениям (система сигнализации №7) или по системам, подключенным к SS7.
Проблема заключается в том, что SS7 является старым протоколом и не имеет серьезных средств защиты, необходимых для борьбы с текущими угрозами. Это изначально не зашифрованный канал. Подключившись к SS7-системе, злоумышленник может получить доступ к любым коммуникациям абонентов сети, включая OTP. Следовательно, операторы мобильной связи должны взять на себя ответственность за эту проблему, поскольку растущая распространенность 2FA сделает их и их SS7-сети еще более привлекательной мишенью.
Защита критически важной сетевой инфраструктуры и развертывание SS7-фаерволлов необходимы для того, чтобы уберечь эти уязвимые элементы от атак, угрожающих бизнесу и репутации мобильного оператора.
Вывод
Вопросы безопасности затрагивают всех игроков, вне зависимости от рынка. Даже тем компаниям, которые идут в авангарде и уделяют внимание улучшению безопасности в качестве бизнес-решения (а не из-за требований законодательства), есть о чем беспокоиться. Методы, разработанные мошенниками для того, чтобы обходить 2FA в ЕС или США, не остаются в пределах этих территорий. На деле они уже являются глобальной проблемой. А значит и бизнес, и операторы захотят предпринять активные шаги для противодействия этим угрозам. GMS следит за возникновением новых угроз на рынках, чтобы помогать клиентам предупреждать действия злоумышленников. Наши решения, обеспечивающие информационную безопасность, помогают защитить клиентов, бизнес и операторов. Свяжитесь с экспертами GMS, чтобы узнать больше.