Get best of the week

Warum die SMS-Authentifizierung schlecht ist und wie man sich vor Diebstahl von SIM-Karten schützt

Hallo Habr! In einem früheren Artikel haben wir das Thema angesprochen, dass die SMS-Authentifizierung nicht der beste Weg für die Multi-Faktor-Authentifizierung ist. Diese Methode wird von vielen Webdiensten verwendet: soziale Netzwerke, E-Mail-Clients, Zahlungssysteme. Darüber hinaus wird die Telefonnummer als Login verwendet: zum Registrieren von VKontakte, im Telegramm usw. 

Wenn die SIM-Karte gestohlen und SMS abgefangen wird, sind die Folgen katastrophal. Viele Benutzer korrespondieren in Messenger mit Kollegen und Partnern, sodass nicht nur personenbezogene Daten, sondern auch Unternehmensdaten gefährdet sind. Wenn Ihr Unternehmen keine Unternehmensinfrastruktur für die Kommunikation verwendet, gefährden ungeschützte Mitarbeiterkonten das Unternehmen. Es lohnt sich also, sich im Voraus um die Sicherheit zu kümmern.

In diesem Artikel werden einige beliebte Dienste verwendet und die SMS-Authentifizierung durch sicherere Methoden ersetzt. Gleichzeitig werden wir herausfinden, wie wir Konten weiter vor Diebstahl schützen und friedlich schlafen können.
Der Artikel wurde von MyCrypto Longread inspiriert , das sich dem SIMJacking (SimJacking) widmet. Wir haben ihre Empfehlungen studiert und eine aktuelle Liste für Russland zusammengestellt. 


Warum die SMS-Authentifizierung loswerden?


Angreifer können auf verschiedene Arten gleichzeitig SMS empfangen und sich bei einem anderen Konto anmelden:

  1. Wenn Sie ein Telefon mit einer SIM-Karte im Inneren bekommen können. 
  2. Wenn Sie die SIM-Karte mit gefälschten Dokumenten neu ausstellen. Betrüger kaufen zusammengeführte Passdaten und fälschen eine Vollmacht oder sogar den Pass selbst. Ob der Bediener Dokumente zur Überprüfung an den Sicherheitsdienst sendet, hängt vom menschlichen Faktor ab. 
  3. Wenn die SIM-Karte in Absprache mit dem Personal des Betreibers gestohlen wird.   
  4. Wenn sie SMS mithilfe von Sicherheitslücken in der SIM-Karte selbst oder im Telefon abfangen.

Die zweite und dritte Methode sind die massivsten. Die Gefahr besteht darin, dass das Opfer nicht sofort versteht, dass Simka gestohlen wurde. Ein Betrüger hat jede Chance, Geld zu verdienen, bevor Sie das Problem erkennen und wieder auf Ihre SIM-Karte zugreifen können. 

An welchen Zeichen ist klar, dass Simka gestohlen wurde:


  • Der Betreiber sendet eine SMS, um die SIM-Karte zu ersetzen.
  • Das Netzwerk des Betreibers verschwindet auf dem Telefon, ein Neustart hilft nicht.
  • Es werden Briefe an die E-Mail gesendet, in denen versucht wird, das Kennwort in verschiedenen Diensten zurückzusetzen.
  • Eine Apple ID oder ein Google-Konto fragt nach einem Passwort.
  • Es werden Meldungen zum Verknüpfen eines Kontos mit einem neuen Gerät angezeigt.

  • Wenn Push-Nachrichten irgendwo für die Zwei-Faktor-Authentifizierung verwendet werden, werden Codes von verschiedenen Diensten angezeigt. 

So verhindern Sie den Diebstahl einer SIM-Karte


  • , -, , , ( ).
  • , SIM- . « ».
  • /Face ID.
  • , . « » -, - . .   

, -   


Wenn die SIM-Karte bereits gestohlen wurde, haben Sie nicht mehr als einen Tag Zeit, um sie zu sperren. Daher müssen Sie ein Schnellverriegelungsskript bereithalten:

  • Überlegen Sie, wie Sie den Operator anrufen können, wenn Sie Ihr Telefon verloren haben, z. B. von einem Laptop oder Tablet. Installieren Sie dort beispielsweise Skype oder Viber.
  • Guthaben für Anrufe auffüllen;
  • Suchen Sie die Nummer Ihres Mobilfunkbetreibers und schreiben Sie sie in das Skype- oder Viber-Protokoll.
  • Wiederholen Sie den Verlust des Telefons: Entfernen Sie die SIM-Karte und versuchen Sie, den Operator auf die ausgewählte Weise anzurufen. 

So entfernen Sie die SMS-Authentifizierung und schützen Konten 


Wir empfehlen generell, die SMS-Authentifizierung zu deaktivieren, wo immer Sie können. Mal sehen, wie das für beliebte Webdienste geht. 

Betrachten Sie zunächst diejenigen, die die SMS-Authentifizierung verwenden. Und dann schützen wir diejenigen, bei denen der Dienst selbst an eine Telefonnummer gebunden ist.

Google Benutzerkonto


  1. Googl «».
  2. « Google» . .

  3. .
    , . 
    • : .
    • : , .
      , . -.
    • Google authenticator: , .
      , .
    • Google: push-   . 
    • : . , USB- Google-, , Bluetooth Google-. , , , . « ».

  4. , . , push-, ( - ).


  5. : . , . - .



  6. https://myaccount.google.com/security



    • : , . , .
    • : ,
    • : . , .
    • Möglichkeiten zur Überprüfung Ihrer Identität - Sicherungs-E-Mail-Adresse : Entfernen Sie die Sicherungsadresse. 


    • Ihre Geräte : Entfernen Sie alle unnötigen.


    • Anwendungen von Drittanbietern mit Kontozugriff : Löschen Sie alle Anwendungen, die Sie nicht verwenden. 


    • Melden Sie sich mit Ihrem Google-Konto an : Löschen Sie alles, was Sie nicht verwenden.
    • Zugriff auf verknüpfte Konten : Im Falle einer Kontoentführung können Sie einem Angreifer den Zugriff auf andere Websites vereinfachen. Alles löschen.
    • Passwort-Manager : Übertragen Sie Passwörter in einen separaten Passwort-Manager. Deaktivieren Sie die automatische Speicherung von Passwörtern.



Yandex


Im Yandex-Konto gibt es keine Möglichkeit, die Zwei-Faktor-Authentifizierung ohne Nummernbindung zu aktivieren. Daher werden wir die „Geheimnummer“ verwenden und an anderer Stelle zusätzliche Faktoren einbeziehen.

  1. « ».



    • : (. )
    • : . .
    • : . , . 



  2. : « ». 


  3. " ". « ».


  4. Scrollen Sie zu Postfächern und Telefonnummern. Entfernen Sie die Wiederherstellungsadressen.


  5. Gehen Sie zu den Yandex Money-Einstellungen auf die Registerkarte "Passwort".
    Hier gehen wir alle drei Tasten durch.



    • Notfallcodes ausgeben : Schreiben Sie die Notfallcodes neu und speichern Sie sie, genau wie Sie es für Ihr Google-Konto getan haben.


    • Gehen Sie zu Passwörtern in der Anwendung : Wählen Sie "Anwendung mit Passwörtern" und synchronisieren Sie mit einer der Anwendungen.


    • Klicken Sie auf Immer nach Passwort fragen.



Schützen Sie jetzt auf die gleiche Weise ALLE Dienste, die die SMS-Authentifizierung verwenden können. 

Wenn möglich, ersetzen Sie es oder hängen Sie es an eine „Geheimnummer“ an und fügen Sie eine Fingerabdruck-Eingabe hinzu.

Hier ist eine Checkliste der Dienste in der Reihenfolge ihrer Priorität:
Persönlich:
  • .
  • : , . . 
  • : LastPass, 1Password . .
  • : iCloud, Dropbox, OneDrive . .
  • : Mail.ru . .
  • : Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
  • : iMessage, Skype, Slack, Facebook Messenger   . .
  • : iCloud, Google Photos . .
  • : Evernote, Scribd  . .
  • : Reddit, Stackoverflow . .
  • - . .

:
  • Quellcode-Repositorys : Github, Bitbucket, Gitlab usw.
  • Hostings und Plattformen für Websites : Parken, Wordpress, AWS, Microsoft Azure, Digital Ocean usw. 
  • Task-Tracker, CRM und andere Plattformen für die Arbeit : Jira, Mailchimp, Trello usw.

Telegramm


Das Messenger-Konto ist an eine Telefonnummer gebunden. Daher konfigurieren wir zusätzlich zur Zwei-Faktor-Authentifizierung einen zusätzlichen Schutz. 

  1. Legen Sie Ihr Passwort und Ihren Fingerabdruck-Login fest: Gehen Sie zu Sicherheitseinstellungen und wählen Sie Passcode und Touch-ID.


  2. Telefonnummer ausblenden: Suchen Sie in den Sicherheitseinstellungen nach Datenschutz und setzen Sie die Telefonnummer auf "Niemand". Anrufe hier deaktivieren. Fügen Sie Ausnahmen nur Personen hinzu, denen Sie vertrauen.


  3. Aktivieren Sie die Zwei-Faktor-Kennwortauthentifizierung. Verwenden Sie keine primären E-Mails zur Wiederherstellung.




  4. Gehen Sie zu Geräte und schließen Sie alle aktiven Sitzungen, die verdächtig erscheinen.



All diese Maßnahmen schützen nicht vollständig vor Diebstahl von SIM-Karten, ermöglichen es jedoch nicht, Betrügern Jackpots zu geben. Wenn Benutzer Remote-Arbeiten mit persönlichen Geräten und öffentlich verfügbaren Webdiensten ausführen, werden sowohl persönliche Daten als auch die Daten von Kollegen geschützt.

More articles:


All Articles