Взлом Gmail и биткоин-кошелька через SS7

Схема уязвимости SS7 и перехвата SMS

Краткое содержание

Что такое уязвимость SS7 и почему она важна
Пошаговый разбор PoC: как исследователи взломали Gmail и биткоин-кошелёк
Как защититься — практические рекомендации для пользователей и компаний
Чеклисты ролей, сценарий реагирования и метод тестирования SS7

Что такое SS7

SS7, Signalling System 7, — набор телекоммуникационных протоколов, использующихся с 1975 года для установления и завершения телефонных вызовов в общественных коммутируемых телефонных сетях (PSTN). Протокол также обеспечивает перенаправление номеров, локальную портативность, услуги предоплаты и передачу SMS.

Определение в одну строку: SS7 — служебный протокол операторских сетей, который управляет маршрутизацией вызовов и обменом служебной информацией между мобильными сетями.

Важно отметить исторические факты, которые часто цитируются в исследованиях: уязвимости SS7 известны с 2008 года; в 2014 году были опубликованы исследования, показывающие возможность отслеживания абонентов с высокой точностью; некоторые репорты указывали на успешность попыток отслеживания порядка 70% в определённых тестах.

Почему SS7 можно использовать для перехвата SMS и обхода 2FA

Архитектура SS7 была разработана до эпохи мобильного интернета и не учитывала современные угрозы. Операторы доверяют друг другу обмен служебной информацией, что в сочетании с открытым доступом к межоператорской сигнализации даёт вектор атак:

злоумышленник с доступом к сети SS7 может направить SMS или перенаправить вызовы на контролируемую точку
запросы на выдачу временных ключей для шифрования можно инициировать через оператора жертвы
протокол не требует строгой аутентификации всех сторон при некоторых типах служебных сообщений

Эти свойства позволяют перехватывать одноразовые пароли, используемые сервисами для сброса пароля или двухфакторной авторизации по SMS.

Пошаговый разбор PoC-атаки на Gmail и биткоин-кошелёк

Исследование от Positive Technologies и репортаж Forbes описывают следующий упрощённый сценарий:

Идентификация цели: злоумышленник знает имя и номер телефона жертвы.
Инициирование восстановления пароля на Gmail: сервис отправляет одноразовый код (OTP) на привязанный номер.
Перехват OTP через SS7: злоумышленник использует доступ к SS7, чтобы направить SMS с кодом на контролируемую им точку при помощи служебных сообщений сети.
Сброс пароля и вход в почту: имея OTP, злоумышленник сбрасывает пароль и получает контроль над аккаунтом.
Доступ к сторонним сервисам: используя контроль над почтой, злоумышленник инициирует сброс пароля в Coinbase или другом криптосервисе.
Вторичный перехват OTP для криптосервиса и полный контроль над кошельком.

Исследователи показали PoC-видео, в котором шаги демонстрируются последовательно. Видео было передано журналисту и иллюстрирует технику атаки без раскрытия точных инструментов и операторских точек доступа.

Когда этот метод работает и когда нет (контрпримеры)

Работает если:

сервис использует SMS как основной или резервный канал для восстановления доступа
злоумышленник имеет доступ к сети SS7 либо арендует такой доступ на «чёрном рынке»
у жертвы не настроены более надёжные способы 2FA

Не работает или работает с трудом если:

сервис использует аппаратные ключи (FIDO2, U2F) или одноразовые коды из приложений (TOTP), а не SMS
оператор применяет фильтрацию и мониторинг SS7-трафика, блокируя подозрительные запросы
аккаунт защищён дополнительными проверками (привязка к устройствам, биометрия, белые IP)

Практические меры защиты для пользователей

Отключите SMS 2FA там, где возможно, и переключитесь на приложение-генератор кодов (TOTP) или аппаратный ключ.
Включите аппаратные ключи безопасности (U2F/FIDO2) для почты и криптосервисов.
Активируйте уведомления о входах и необычных действиях; используйте резервные адреса, не зависящие от уязвимого номера.
Уведомьте мобильного оператора о риске и запросите защиту номера от перехвата (специальные услуги защиты номеров у некоторых операторов).
Для критичных аккаунтов используйте отдельный номер, не публикуемый и не связанный с публичными профилями.

Important: SMS как канал авторизации считается слабым. Переводить на более надёжные методы следует в первую очередь для финансовых и почтовых сервисов.

Чеклист по ролям

Пользователь:

отключить SMS 2FA для критичных сервисов
включить TOTP и аппаратный ключ
проверять историю входов и активные сессии

IT-администратор / Секьюрити команда:

внедрить поддержку FIDO2
настроить SSO с политиками MFA
мониторить аномалии восстановления пароля

Оператор связи:

анализировать и фильтровать подозрительные SS7-запросы
предлагать клиентам защиту от перехвата номера

Мини-методология тестирования уязвимости SS7 (этичный тест)

Получить авторизацию от заказчика и соблюсти юридические ограничения.
Оценить возможные векторы доступа к SS7 у конкретного оператора.
Использовать контролируемые тестовые номера и симуляторы для воспроизведения сценариев.
Зафиксировать логические последовательности: запрос восстановления, отправка OTP, перехват.
Подготовить отчёт с рекомендациями по смягчению рисков.

Important: тестирование SS7 вне легального разрешения незаконно и может нанести вред третьим лицам.

Простая матрица рисков и смягчения

Угроза: Перехват SMS для сброса пароля — Риск: Высокий — Смягчение: FIDO2, TOTP, мониторинг
Угроза: Продажа доступа к SS7 на тёмных площадках — Риск: Средне-высокий — Смягчение: регуляторные меры, сотрудничество операторов
Угроза: IMSI-catcher (фальшивая вышка) — Риск: Средний — Смягчение: физическая детекция, SnoopSnitch для Android

Сценарий реагирования при компрометации аккаунта (Runbook)

Немедленно сменить пароли на других сервисах, где использовалась та же почта.
Отключить SMS как способ восстановления, включить аппаратные ключи.
Связаться с поддержкой сервисов для блокировки транзакций и регистрации инцидента.
Сообщить оператору мобильной связи о подозрительной активности и запросить расследование.
Провести форензический сбор логов и оценить объём утечки.

Критерии приёмки: восстановлен контроль над учётной записью владельца, все транзакции подтверждены владельцем, внедрены рекомендованные меры защиты.

PoC видео и дальнейшие шаги

Исследователи Positive Technologies подготовили PoC-видео, демонстрирующее атаку на Gmail и криптосервис. Видео использовалось в журналистском материале и служит наглядной иллюстрацией угрозы. Для технического сообщества важен не сам ролик, а выводы:

SMS нельзя считать надёжным каналом для критичных операций;
инфраструктурные уязвимости операторов требуют координированных действий на уровне регуляторов и индустрии.

Если вы увидели у себя признаки компрометации — следуйте runbook выше и подключите специалистов по инцидентам.

Дополнительные подходы и альтернативы

Аппаратные ключи (наиболее надёжно для финансовых операций).
TOTP-приложения (Google Authenticator, Authy, другие решения с резервным хранением ключей).
Push-уведомления с подтверждением действия (меньше уязвимостей при правильной имплементации).
Поведенческая аутентификация и риск-ориентированные проверки.

Заключение

Уязвимость SS7 остаётся реальной угрозой для всех сервисов, зависящих от SMS для восстановления доступа и 2FA. Простые меры — отказаться от SMS, внедрить аппаратные ключи и усиленный мониторинг — значительно снижают риск. Операторы и регуляторы должны работать совместно, чтобы ограничить злоупотребления служебной сигнализацией.

Важно: уход от SMS и переход на стандарты вроде FIDO2 — это не только повышенная безопасность, но и снижение операционных рисков для бизнеса.