Get best of the week

Por qué la autenticación de SMS es mala y cómo protegerse contra el robo de la tarjeta SIM

Hola Habr! En un artículo anterior, tocamos el tema de que la autenticación por SMS no es la mejor manera para la autenticación multifactor. Este método es utilizado por muchos servicios web: redes sociales, clientes de correo electrónico, sistemas de pago. Además, el número de teléfono se usa como inicio de sesión: para registrar VKontakte, en Telegram, etc. 

Si se roba la tarjeta SIM y se interceptan los SMS, las consecuencias serán desastrosas. Muchos usuarios se comunican en mensajeros con colegas y socios, por lo que no solo los datos personales, sino también los datos corporativos estarán en riesgo. Si su empresa no utiliza una infraestructura corporativa para la comunicación, las cuentas de empleados desprotegidas ponen en peligro el negocio. Por lo tanto, vale la pena cuidar la seguridad de antemano.

En este artículo, tomaremos algunos servicios populares y reemplazaremos la autenticación por SMS con métodos más seguros. Al mismo tiempo, descubriremos cómo proteger aún más las cuentas del robo y dormir tranquilo.
El artículo fue inspirado por MyCrypto longread, dedicado a SIMJacking (SimJacking). Estudiamos sus recomendaciones y compilamos una lista actualizada para Rusia. 


¿Por qué deshacerse de la autenticación por SMS?


Los atacantes pueden recibir SMS e iniciar sesión en la cuenta de otra persona de varias maneras a la vez:

  1. Si puede obtener un teléfono con una tarjeta SIM adentro. 
  2. Si vuelve a emitir la tarjeta SIM con documentos falsos. Los estafadores compran datos de pasaportes combinados y falsifican un poder notarial o incluso el pasaporte mismo. Si el operador envía documentos para su inspección al servicio de seguridad depende del factor humano. 
  3. Si la tarjeta SIM es robada en connivencia con el personal del operador.   
  4. Si interceptan SMS utilizando vulnerabilidades en la propia tarjeta SIM o en el teléfono.

El segundo y tercer método son los más masivos. El peligro es que la víctima no comprenderá de inmediato que Simka fue robada. Un estafador tiene todas las posibilidades de cobrar antes de que se dé cuenta del problema y logre recuperar el acceso a su tarjeta SIM. 

Por qué signos está claro que Simka fue robada:


  • El operador envía SMS para reemplazar la tarjeta SIM.
  • La red del operador desaparece en el teléfono, reiniciar no ayuda.
  • Llegan cartas al correo sobre intentos de restablecer la contraseña en diferentes servicios.
  • Un ID de Apple o una cuenta de Google comienzan a solicitar una contraseña.
  • Llegan mensajes sobre cómo vincular una cuenta a un nuevo dispositivo.

  • Si se usan mensajes push en algún lugar para la autenticación de dos factores, entonces comenzarán a llegar códigos de diferentes servicios. 

Cómo evitar el robo de una tarjeta SIM


  • , -, , , ( ).
  • , SIM- . « ».
  • /Face ID.
  • , . « » -, - . .   

, -   


Si la tarjeta SIM ya ha sido robada, no tendrá más de un día para bloquear. Por lo tanto, debe tener a mano un script de bloqueo rápido:

  • piense en una forma de llamar al operador si ha perdido su teléfono, por ejemplo, desde una computadora portátil o tableta. Por ejemplo, instale Skype o Viber allí;
  • reponer saldos para llamadas;
  • encuentre el número de su operador de telefonía móvil y escríbalo en el registro de Skype o Viber;
  • Ensaye la pérdida del teléfono: retire la tarjeta SIM e intente llamar al operador de las formas seleccionadas. 

Cómo deshacerse de la autenticación por SMS y proteger las cuentas 


Nuestra recomendación general es optar por no recibir autenticación por SMS siempre que pueda. Veamos cómo hacer esto para los servicios web populares. 

Primero, considere aquellos que usan autenticación por SMS. Y luego protegemos a aquellos en los que el servicio en sí está vinculado a un número de teléfono.

cuenta Google


  1. Googl «».
  2. « Google» . .

  3. .
    , . 
    • : .
    • : , .
      , . -.
    • Google authenticator: , .
      , .
    • Google: push-   . 
    • : . , USB- Google-, , Bluetooth Google-. , , , . « ».

  4. , . , push-, ( - ).


  5. : . , . - .



  6. https://myaccount.google.com/security



    • : , . , .
    • : ,
    • : . , .
    • Formas de verificar su identidad: dirección de correo electrónico de respaldo : elimine la dirección de respaldo. 


    • Sus dispositivos : elimine todo lo innecesario.


    • Aplicaciones de terceros con acceso a la cuenta : elimine todas las aplicaciones que no esté utilizando. 


    • Inicia sesión con tu cuenta de Google : elimina todo lo que no uses.
    • Acceso a cuentas vinculadas : en caso de secuestro de cuenta, es posible simplificar el acceso a otros sitios para un atacante. Elimina todo.
    • Administrador de contraseñas : transfiera contraseñas a un Administrador de contraseñas separado. Deshabilite las contraseñas de autoguardado.



Yandex


En Yandex-account no hay forma de habilitar la autenticación de dos factores sin vinculación de números. Por lo tanto, utilizaremos el "número secreto" e incluiremos factores adicionales en otros lugares.

  1. « ».



    • : (. )
    • : . .
    • : . , . 



  2. : « ». 


  3. " ". « ».


  4. Desplácese a Buzones y números de teléfono. Eliminar las direcciones de recuperación.


  5. Vaya a la configuración de Yandex Money a la pestaña "contraseña".
    Aquí pasamos por los tres botones.



    • Emitir códigos de emergencia : reescriba y guarde los códigos de emergencia, tal como lo hizo con su cuenta de Google.


    • Vaya a contraseñas en la aplicación : seleccione "aplicación con contraseñas" y sincronice con una de las aplicaciones.


    • Haga clic en Solicitar siempre la contraseña.



Ahora, de la misma manera, proteja TODOS los servicios que pueden usar la autenticación por SMS. 

Si es posible, reemplácelo o adjúntelo a un "número secreto" y agregue una entrada de huella digital.

Aquí hay una lista de verificación de servicios en orden de prioridad:
Personal:
  • .
  • : , . . 
  • : LastPass, 1Password . .
  • : iCloud, Dropbox, OneDrive . .
  • : Mail.ru . .
  • : Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
  • : iMessage, Skype, Slack, Facebook Messenger   . .
  • : iCloud, Google Photos . .
  • : Evernote, Scribd  . .
  • : Reddit, Stackoverflow . .
  • - . .

:
  • Repositorios de código fuente : Github, Bitbucket, Gitlab, etc.
  • Hosting y plataformas para sitios : Parking, Wordpress, AWS, Microsoft Azure, Digital Ocean, etc. 
  • Rastreadores de tareas, CRM y otras plataformas de trabajo : Jira, Mailchimp, Trello, etc.

Telegrama


La cuenta de Messenger está vinculada a un número de teléfono, por lo tanto, además de la autenticación de dos factores, configuraremos una protección adicional. 

  1. Establezca su contraseña e inicio de sesión con huella digital: vaya a Configuración de seguridad y seleccione contraseña e identificación táctil.


  2. Ocultar el número de teléfono: en la configuración de seguridad, busque Privacidad y establezca el número de teléfono en "nadie". Deshabilita las llamadas aquí. Solo agregue excepciones a las personas de su confianza.


  3. Habilite la autenticación de contraseña de dos factores. No use el correo primario para la recuperación.




  4. Vaya a Dispositivos y cierre todas las sesiones activas que parezcan sospechosas.



Todas estas medidas no protegerán completamente contra el robo de tarjetas SIM, pero no permitirán otorgar botes a los estafadores. Si los usuarios realizan trabajos remotos utilizando dispositivos personales y servicios web disponibles al público, esto protegerá tanto los datos personales como los de colegas.

More articles:


All Articles