Взлом Gmail и Bitcoin‑кошелька по имени и номеру телефона через уязвимость SS7

Содержание

• Что такое уязвимость SS7?
• Как в PoC атаковали Gmail и Bitcoin‑кошелёк
• Почему это работает: техническая суть
• Когда атака не сработает
• Альтернативные атаки и меры защиты
• Руководство для операторов и администраторов — чеклист действий
• Матрица рисков и рекомендации по смягчению
• Краткий глоссарий и источники

Что такое уязвимость SS7?

SS7 (Signalling System No.7) — набор протоколов сигнализации, используемый для управления телефонией в глобальной сети операторов сотовой связи. В одном предложении: SS7 отвечает за установку и завершение звонков, маршрутизацию SMS, трансляцию номеров и некоторые функции биллинга.

Ключевые факты:

• SS7 разработан в 1975 году и изначально не был спроектирован с упором на современные угрозы безопасности.
• С его помощью операторы обмениваются служебной информацией о звонках, SMS и абонентах.
• Уязвимости в SS7 известны с конца 2000‑х; исследователи и СМИ неоднократно показывали, что с их помощью можно отслеживать местоположение и перехватывать трафик.
• Существует инструмент SnoopSnitch, который предупреждает о некоторых атаках SS7 и обнаруживает IMSI‑ловушки.

Важно: уязвимость — в самой архитектуре обмена сигнализацией между операторами. Даже если отдельный оператор безопасен, уязвимость может появиться через партнёрские сети.

Как в PoC атаковали Gmail и Bitcoin‑кошелёк

Краткая последовательность действий, показанная в PoC от Positive Technologies:

1. Исследователи определили связанный с человеком номер телефона и адрес Gmail (в демо — имя и телефон были известны).
2. Через стандартный механизм восстановления пароля они инициировали отправку одноразового кода (OTP) на телефон жертвы.
3. С помощью уязвимости SS7 перехватили SMS с OTP, то есть перенаправили или прослушали служебный трафик, который доставляет код.
4. Получив OTP, атакующие сбросили пароль и получили контроль над Gmail‑аккаунтом.
5. Через контролируемую почту инициировали сброс пароля в сервисе обмена криптовалютой (в демонстрации — Coinbase).
6. Повторно перехватив OTP для сервиса криптоплатформы, злоумышленники сбросили пароль и получили доступ к Bitcoin‑кошельку.

Цитата исследователя Positive Technologies Дмитрия Курбатова (перевод): «Эта атака сработает для любого ресурса — реальной или виртуальной валюты, — который использует SMS для восстановления пароля. Это уязвимость мобильных сетей, значит, проблема касается всех, особенно сервисов, полагающихся на мобильную сеть для отправки кодов безопасности.»

Почему это работает: техническая суть

• Межоператорский обмен сигналами SS7 не всегда аутентифицируется на современном уровне: сообщения о доставке и перенаправлении могут быть приняты как легитимные.
• Через злоупотребление функциональностью запроса маршрута и пересылки сообщений атакующий может получить временную информацию о том, куда направлять SMS или запросить ключи для расшифровки.
• IMSI‑ловушки и сетевые прокси дают доступ к обмену сигналами на уровне, где можно подменять точки доставки сообщений.

Коротко: уязвимость на уровне инфраструктуры оператора превращает SMS‑OTP из «фактора, основанного на владении» в фактор, который можно перехватить дистанционно.

Когда атака не сработает

Атака через SS7 не сработает или станет гораздо сложнее, если выполнены хотя бы некоторые из следующих условий:

• Сервис не использует SMS‑OTP для восстановления доступа (например, использует аппаратные токены или push‑уведомления с привязкой к приложению).
• Оператор или сеть используют современные механизмы фильтрации SS7, мониторинга аномалий и строгую маршрутизацию трафика между партнёрами.
• Пользователь включил многофакторную аутентификацию с независимыми факторами (аппаратный ключ, U2F/WebAuthn).
• Система оповещения и логирования фиксирует нестандартные попытки смены маршрута сообщений.

Альтернативные подходы злоумышленников и когда их используют

• SIM‑swap (социальная инженерия у оператора) — смена владельца номера на SIM атакующего. Часто проще, если у оператора слабая верификация.
• Фишинг и перехват учётных данных через вредоносные формы или поддельные сайты.
• Использование компрометации почты (если e‑mail уже выдаёт доступ к другим сервисам).

Уязвимость SS7 конкурентна тем методам: она удобна для атакатора, у которого есть удалённый доступ к сигнализации или возможность купить доступ через теневые сервисы.

Что делать пользователям — чеклист

• Отключите SMS как единственный канал восстановления: используйте приложение‑аутентификатор (TOTP), аппаратный ключ (U2F/WebAuthn) или одноразовые резервные коды.
• Включите двухфакторную аутентификацию с внешним фактором (апп, токен) для почты и криптосервисов.
• Не храните всю криптовалюту на биржах; используйте холодные кошельки для долгосрочного хранения.
• Настройте уведомления о входе и резервные контакты, но не привязывайте все сервисы к одному номеру телефона.
• При необычном поведении аккаунтов (письма об изменении пароля, входы из новых мест) немедленно свяжитесь с поддержкой сервиса.

Важно: SMS удобны, но считаются слабым фактором аутентификации для ценных ресурсов.

Что должны делать операторы и провайдеры услуг — базовый SOP

Роль: оператор мобильной сети

• Внедрить фильтрацию и валидацию SS7‑трафика между партнёрами.
• Мониторить аномалии запросов на перенаправление и запросы на выдачу ключей для расшифровки.
• Ограничить доступ к критическим функциям сигнализации и внедрить многоуровневую аутентификацию для внутренних сервисов.
• Проводить аудит партнёрских соединений и требовать стандартов безопасности от контрагентов.

Роль: сервисы (почта/биржа)

• Не полагаться на SMS для восстановления доступа к критичным операциям (снятие средств, сброс пароля).
• Предлагать аппаратные токены и WebAuthn как приоритетные методы MFA.
• Логировать и блокировать массовые попытки восстановления и смены паролей для одного аккаунта.

Матрица рисков и рекомендации по смягчению

• Риск: Перехват SMS‑OTP → Последствие: Контроль над аккаунтом и доступ к финансам. Смягчение: отказ от SMS, MFA с аппаратным ключом.
• Риск: Доступ к сигнализации SS7 через теневые сервисы → Последствие: массовые атаки. Смягчение: мониторинг межоператорского трафика, работа с регуляторами.
• Риск: Социальная инженерия в контакт‑центре оператора → Последствие: SIM‑swap. Смягчение: строгая верификация клиентов, дополнительные пароли‑фразы для операций.

Критерии приёмки (для инженеров безопасности)

• SMS не используются как единственный механизм восстановления для аккаунтов с финансовой активностью.
• Для операций вывода средств и критичных изменений настроен второй независимый фактор (аппаратный ключ, WebAuthn).
• На уровне оператора развёрнуты системы обнаружения аномалий SS7 и межоператорский обмен мониторится.

Краткий глоссарий

• SS7 — система сигнализации между операторами мобильной связи.
• OTP — одноразовый пароль, обычно отправляется SMS.
• IMSI‑ловушка — устройство, выдающее себя за базовую станцию для перехвата трафика.
• SIM‑swap — перевод номера на другую SIM‑карту путём подделки обращения к оператору.

Заключение

PoC‑демонстрация от Positive Technologies ещё раз подчёркивает: когда критичные сервисы полагаются на инфраструктуру операторов для доставки кодов безопасности, возникает общий риск для всех пользователей. Самостоятельные шаги (отказ от SMS, использование аппаратных токенов) и организационные меры операторов (фильтрация SS7, мониторинг) существенно снижают вероятность успешной атаки.

Важно: для защиты средств и конфиденциальных данных не следует рассчитывать на одну меру безопасности — комбинируйте средства и регулярно проверяйте настройки аккаунтов.

Заметки

• Если вы используете биржу для хранения криптовалют, рассмотрите вывод критичной части средств в холодный кошелёк.
• Для корпоративных пользователей — поручите аудит взаимодействия с мобильными провайдерами и требуйте SLA по безопасности межоператорских соединений.

Источник демонстрации: Positive Technologies и публикация в Forbes с материалами PoC. Дополнительные инструменты для обнаружения атаки — SnoopSnitch и другие решения для мониторинга мобильного трафика.