👩🏿‍🔧 😴 🎅🏻 Pourquoi l'authentification SMS est mauvaise et comment se protéger contre le vol de carte SIM ✈️ 💅🏾 🐏

Bonjour, Habr! Dans un article précédent, nous avons abordé le sujet selon lequel l'authentification SMS n'est pas le meilleur moyen pour l'authentification multifacteur. Cette méthode est utilisée par de nombreux services Web: réseaux sociaux, clients de messagerie, systèmes de paiement. De plus, le numéro de téléphone est utilisé comme identifiant: pour enregistrer VKontakte, dans Telegram, etc.

Si la carte SIM est volée et que des SMS sont interceptés, les conséquences seront désastreuses. De nombreux utilisateurs correspondent dans des messagers avec des collègues et des partenaires, donc non seulement les données personnelles, mais aussi les données d'entreprise seront en danger. Si votre entreprise n'utilise pas d'infrastructure d'entreprise pour la communication, les comptes d'employés non protégés mettent en péril l'entreprise. Il vaut donc la peine de s’occuper de la sécurité à l’avance.

Dans cet article, nous allons prendre quelques services populaires et remplacer l'authentification SMS par des méthodes plus sécurisées. Dans le même temps, nous découvrirons comment protéger davantage les comptes contre le vol et dormir paisiblement.

L'article est inspiré de MyCrypto longread, dédié au SIMJacking (SimJacking). Nous avons étudié leurs recommandations et compilé une liste à jour pour la Russie.

Pourquoi se débarrasser de l'authentification SMS

Les attaquants peuvent recevoir des SMS et se connecter au compte de quelqu'un d'autre de plusieurs manières à la fois:

Si vous pouvez obtenir un téléphone avec une carte SIM à l'intérieur.
Si vous réémettez la carte SIM à l'aide de faux documents. Les fraudeurs achètent des données de passeport fusionnées et forgent une procuration ou même le passeport lui-même. Le fait que l'opérateur envoie ou non des documents pour inspection au service de sécurité dépend du facteur humain.
Si la carte SIM est volée en collusion avec le personnel de l'opérateur.
S'ils interceptent les SMS en utilisant des vulnérabilités dans la carte SIM elle-même ou dans le téléphone.

Les deuxième et troisième méthodes sont les plus massives. Le danger est que la victime ne comprenne pas immédiatement que Simka a été volée. Un fraudeur a toutes les chances de retirer de l'argent avant que vous ne vous rendiez compte du problème et parvenez à retrouver l'accès à votre carte SIM.

Par quels signes est-il clair que Simka a été volé:

L'opérateur envoie des SMS pour remplacer la carte SIM.
Le réseau de l'opérateur disparaît sur le téléphone, le redémarrage n'aide pas.
Des lettres sont envoyées au courrier pour tenter de réinitialiser le mot de passe dans différents services.
Un identifiant Apple ou un compte Google commence à demander un mot de passe.
Des messages sur la liaison d'un compte à un nouvel appareil arrivent.
Si des messages push sont utilisés quelque part pour l'authentification à deux facteurs, les codes de différents services commenceront à apparaître.

Comment empêcher le vol d'une carte SIM

, -, , , ( ).
, SIM- . « ».
/Face ID.
, . « » -, - . .

, -

Si la carte SIM a déjà été volée, vous n'aurez pas plus d'un jour pour verrouiller. Par conséquent, vous devez garder un script de verrouillage rapide à portée de main:

pensez à un moyen d'appeler l'opérateur si vous avez perdu votre téléphone, par exemple à partir d'un ordinateur portable ou d'une tablette. Par exemple, installez Skype ou Viber là-bas;
reconstituer les soldes des appels;
trouver le numéro de votre opérateur mobile et l'écrire dans le journal Skype ou Viber;
Répétez la perte du téléphone: retirez la carte SIM et essayez d'appeler l'opérateur de la manière sélectionnée.

Comment se débarrasser de l'authentification SMS et protéger les comptes

Notre recommandation générale est de désactiver l'authentification SMS partout où vous le pouvez. Voyons comment procéder pour les services Web populaires.

Tout d'abord, considérez ceux qui utilisent l'authentification SMS. Et puis nous protégeons ceux où le service lui-même est lié à un numéro de téléphone.

Compte google

Googl «».
« Google» . .
.
, .
- : .
- : , .
  , . -.
- Google authenticator: , .
  , .
- Google: push- .
- : . , USB- Google-, , Bluetooth Google-. , , , . « ».
, . , push-, ( - ).
: . , . - .
https://myaccount.google.com/security
- : , . , .
- : ,
- – : . , .
- Façons de vérifier votre identité - adresse e-mail de sauvegarde : supprimez l'adresse de sauvegarde.
- Vos appareils : supprimez tous les inutiles.
- Applications tierces avec accès au compte : supprimez toutes les applications que vous n'utilisez pas.
- Connectez-vous avec votre compte Google : supprimez tout ce que vous n'utilisez pas.
- Accès aux comptes liés : en cas de piratage de compte, il est possible de simplifier l'accès à d'autres sites pour un attaquant. Supprimez tout.
- Password Manager : transférez les mots de passe vers un gestionnaire de mots de passe distinct. Désactivez la sauvegarde automatique des mots de passe.

Yandex

Dans Yandex-account, il n'y a aucun moyen d'activer l'authentification à deux facteurs sans liaison de numéro. Par conséquent, nous utiliserons le «numéro secret» et inclurons des facteurs supplémentaires ailleurs.

« ».
- : (. )
- : . .
- : . , .
: « ».
" ". « ».
Faites défiler jusqu'à Boîtes aux lettres et numéros de téléphone. Supprimez les adresses de récupération.
Accédez aux paramètres de Yandex Money dans l'onglet "mot de passe".
Ici, nous passons par les trois boutons.
- Émettre des codes d'urgence : réécrivez et enregistrez les codes d'urgence, comme vous l'avez fait pour votre compte Google.
- Accédez aux mots de passe dans l'application : sélectionnez "application avec mots de passe" et synchronisez avec l'une des applications.
- Cliquez sur Toujours demander un mot de passe.

Désormais, de la même manière, protégez TOUS les services qui peuvent utiliser l'authentification SMS.

Si possible, remplacez-le ou joignez-le à un «numéro secret» et ajoutez une entrée d'empreinte digitale.

Voici une liste de contrôle des services par ordre de priorité:
Personnel:

.
: , . .
: LastPass, 1Password . .
: iCloud, Dropbox, OneDrive . .
: Mail.ru . .
: Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
: iMessage, Skype, Slack, Facebook Messenger . .
: iCloud, Google Photos . .
: Evernote, Scribd . .
: Reddit, Stackoverflow . .
- . .

Dépôts de code source : Github, Bitbucket, Gitlab, etc.
Hébergement et plateformes de sites : Parking, Wordpress, AWS, Microsoft Azure, Digital Ocean, etc.
Trackers de tâches, CRM et autres plateformes de travail : Jira, Mailchimp, Trello, etc.

Télégramme

Le compte de messagerie est lié à un numéro de téléphone.Par conséquent, en plus de l'authentification à deux facteurs, nous configurerons une protection supplémentaire.

Définissez votre mot de passe et votre connexion par empreinte digitale: accédez aux paramètres de sécurité et sélectionnez le code d'accès et l'ID tactile.
Masquer le numéro de téléphone: dans les paramètres de sécurité, recherchez Confidentialité et définissez le numéro de téléphone sur «personne». Désactivez les appels ici. N'ajoutez des exceptions qu'aux personnes en qui vous avez confiance.
Activez l'authentification par mot de passe à deux facteurs. N'utilisez pas de courrier principal pour la récupération.
Accédez à Appareils et fermez toutes les sessions actives qui semblent suspectes.

Toutes ces mesures ne protégeront pas pleinement contre le vol de cartes SIM, mais ne permettront pas de donner des jackpots aux fraudeurs. Si les utilisateurs effectuent un travail à distance à l'aide d'appareils personnels et de services Web accessibles au public, cela protégera à la fois les données personnelles et les données de leurs collègues.

Pourquoi l'authentification SMS est mauvaise et comment se protéger contre le vol de carte SIM