Get best of the week

Mengapa otentikasi SMS buruk dan bagaimana melindungi terhadap pencurian kartu SIM

Halo, Habr! Dalam artikel sebelumnya, kami menyinggung topik bahwa otentikasi SMS bukan cara terbaik untuk otentikasi multi-faktor. Metode ini digunakan oleh banyak layanan web: jaringan sosial, klien email, sistem pembayaran. Selain itu, nomor telepon digunakan sebagai login: untuk mendaftar VKontakte, di Telegram, dan sebagainya. 

Jika kartu SIM dicuri dan SMS dicegat, konsekuensinya akan menjadi bencana. Banyak pengguna berkorespondensi dengan utusan dengan kolega dan mitra, jadi tidak hanya data pribadi, tetapi juga data perusahaan akan berisiko. Jika perusahaan Anda tidak menggunakan infrastruktur perusahaan untuk komunikasi, maka akun karyawan yang tidak dilindungi membahayakan bisnis. Jadi ada baiknya menjaga keamanan terlebih dahulu.

Di artikel ini, kami akan mengambil beberapa layanan populer dan mengganti otentikasi SMS dengan metode yang lebih aman. Pada saat yang sama, kami akan mencari cara untuk lebih melindungi akun dari pencurian dan tidur dengan tenang.
Artikel ini terinspirasi oleh MyCrypto longread, yang didedikasikan untuk perlindungan terhadap SIM-jacking (SimJacking). Kami mempelajari rekomendasi mereka dan menyusun daftar terbaru untuk Rusia. 


Mengapa membuang otentikasi SMS?


Penyerang dapat menerima SMS dan masuk ke akun orang lain dengan beberapa cara sekaligus:

  1. Jika Anda bisa mendapatkan telepon dengan kartu SIM di dalamnya. 
  2. Jika Anda menerbitkan kembali kartu SIM menggunakan dokumen palsu. Penipu membeli data paspor yang digabungkan dan membentuk surat kuasa atau bahkan paspor itu sendiri. Apakah operator mengirim dokumen untuk diperiksa ke layanan keamanan tergantung pada faktor manusia. 
  3. Jika kartu SIM dicuri berkolusi dengan staf operator.   
  4. Jika mereka mencegat SMS menggunakan kerentanan di kartu SIM itu sendiri atau di telepon.

Metode kedua dan ketiga adalah yang paling masif. Bahayanya adalah bahwa korban tidak akan segera mengerti bahwa Simka dicuri. Penipu memiliki setiap kesempatan untuk menguangkan sebelum Anda menyadari masalahnya dan mengatur untuk mendapatkan kembali akses ke kartu SIM Anda. 

Dengan tanda-tanda apa jelas bahwa Simka dicuri:


  • Operator mengirim SMS untuk mengganti kartu SIM.
  • Jaringan operator menghilang di telepon, mem-boot ulang tidak membantu.
  • Surat datang ke surat tentang upaya untuk mengatur ulang kata sandi di berbagai layanan.
  • ID Apple atau Akun Google mulai meminta kata sandi.
  • Pesan tentang menautkan akun ke perangkat baru datang.

  • Jika pesan push digunakan di suatu tempat untuk otentikasi dua faktor, maka kode dari layanan yang berbeda akan mulai muncul. 

Bagaimana mencegah pencurian kartu SIM


  • , -, , , ( ).
  • , SIM- . « ».
  • /Face ID.
  • , . « » -, - . .   

, -   


Jika kartu SIM telah dicuri, Anda tidak akan memiliki lebih dari satu hari untuk mengunci. Karena itu, Anda perlu menyimpan skrip kunci cepat:

  • pikirkan cara untuk memanggil operator jika Anda kehilangan ponsel, misalnya, dari laptop atau tablet. Misalnya, instal Skype atau Viber di sana;
  • mengisi saldo untuk panggilan;
  • temukan nomor operator seluler Anda dan tulis di Skype atau Viber log;
  • Latih kehilangan telepon: keluarkan kartu SIM dan coba hubungi operator dengan cara yang dipilih. 

Cara menghilangkan otentikasi SMS dan melindungi akun 


Rekomendasi umum kami adalah untuk memilih keluar dari otentikasi SMS di mana pun Anda bisa. Mari kita lihat bagaimana melakukan ini untuk layanan web populer. 

Pertama, pertimbangkan yang menggunakan otentikasi SMS. Dan kemudian kami melindungi mereka yang layanannya terkait dengan nomor telepon.

akun Google


  1. Googl «».
  2. « Google» . .

  3. .
    , . 
    • : .
    • : , .
      , . -.
    • Google authenticator: , .
      , .
    • Google: push-   . 
    • : . , USB- Google-, , Bluetooth Google-. , , , . « ».

  4. , . , push-, ( - ).


  5. : . , . - .



  6. https://myaccount.google.com/security



    • : , . , .
    • : ,
    • : . , .
    • Cara untuk memverifikasi identitas Anda - alamat email cadangan : hapus alamat cadangan. 


    • Perangkat Anda : hapus semua yang tidak perlu.


    • Aplikasi pihak ketiga dengan akses akun : hapus semua aplikasi yang tidak Anda gunakan. 


    • Masuk dengan Akun Google Anda : hapus apa pun yang tidak Anda gunakan.
    • Akses ke akun tertaut : jika terjadi pembajakan akun, dimungkinkan untuk menyederhanakan akses ke situs lain untuk penyerang. Hapus semuanya.
    • Pengelola Kata Sandi : Mentransfer kata sandi ke Pengelola Kata Sandi yang terpisah. Nonaktifkan kata sandi penyimpanan otomatis.



Yandex


Di akun Yandex tidak ada cara untuk mengaktifkan otentikasi dua faktor tanpa nomor mengikat. Oleh karena itu, kami akan menggunakan "nomor rahasia" dan memasukkan faktor tambahan di tempat lain.

  1. « ».



    • : (. )
    • : . .
    • : . , . 



  2. : « ». 


  3. " ". « ».


  4. Gulir ke Kotak Surat dan Nomor Telepon. Hapus alamat pemulihan.


  5. Buka pengaturan Yandex Money ke tab "kata sandi".
    Di sini kita melewati ketiga tombol.



    • Keluarkan kode darurat : tulis ulang dan simpan kode darurat, seperti yang Anda lakukan untuk akun Google Anda.


    • Buka kata sandi dalam aplikasi : pilih "aplikasi dengan kata sandi" dan sinkronkan dengan salah satu aplikasi.


    • Klik Selalu Tanya Kata Sandi.



Sekarang, dengan cara yang sama, lindungi SEMUA layanan yang dapat menggunakan otentikasi SMS. 

Jika memungkinkan, ganti atau pasang ke "nomor rahasia" dan tambahkan input sidik jari.

Berikut adalah daftar periksa layanan berdasarkan prioritas:
Pribadi:
  • .
  • : , . . 
  • : LastPass, 1Password . .
  • : iCloud, Dropbox, OneDrive . .
  • : Mail.ru . .
  • : Vk, Facebook, Twitter, Instagram, LinkedIn, Medium . .
  • : iMessage, Skype, Slack, Facebook Messenger   . .
  • : iCloud, Google Photos . .
  • : Evernote, Scribd  . .
  • : Reddit, Stackoverflow . .
  • - . .

:
  • Repositori kode sumber : Github, Bitbucket, Gitlab, dll.
  • Host dan platform untuk situs : Parkir, Wordpress, AWS, Microsoft Azure, Digital Ocean, dll. 
  • Pelacak tugas, CRM, dan platform lain untuk bekerja : Jira, Mailchimp, Trello, dll.

Telegram


Akun messenger terikat dengan nomor telepon, oleh karena itu, selain otentikasi dua faktor, kami akan mengonfigurasi perlindungan tambahan. 

  1. Atur kata sandi dan login sidik jari Anda: buka Pengaturan Keamanan dan pilih kode sandi & id sentuh.


  2. Sembunyikan nomor telepon: di pengaturan keamanan, temukan Privasi dan setel nomor telepon menjadi "tidak ada". Nonaktifkan panggilan di sini. Hanya tambahkan pengecualian ke orang yang Anda percayai.


  3. Aktifkan otentikasi kata sandi dua faktor. Jangan gunakan email utama untuk pemulihan.




  4. Buka Perangkat dan tutup semua sesi aktif yang tampak mencurigakan.



Semua tindakan ini tidak akan sepenuhnya melindungi terhadap pencurian kartu SIM, tetapi tidak akan memungkinkan untuk memberikan jackpot kepada scammers. Jika pengguna melakukan pekerjaan jarak jauh menggunakan perangkat pribadi dan layanan web yang tersedia untuk umum, ini akan melindungi data pribadi dan data rekan kerja.

More articles:


All Articles