Чому SMS-повідомлення ніколи не були безпечними?

Звичайний громадянин навряд чи надсилатиме текстові повідомлення, що містять військові секрети або державні таємниці, або будь-які конфіденційні дані, які можуть стати в нагоді хакеру. Але що якщо особисті текстові повідомлення, що містять плітки про начальника, друга та сімейні подробиці, будуть прочитані та переслані іншим? Це буде не дуже приємне почуття. Ідея полягає не у великих секретах, які треба захищати. Йдеться про захист особистого простору.

Мобільні телефони – це завжди слабке місце. Припустімо, що чийсь пристрій потрапить до рук іншої людини, і його буде розблоковано. У цьому випадку є шанс, що ця людина зможе прочитати усі повідомлення, що зберігаються на телефоні. Приблизно те саме відбувається, коли SMS читається між відправником та одержувачем у той момент, коли повідомлення розшифровується. Наскрізне шифрування забезпечує безпеку та збереження повідомлення, чого, на жаль, не відбувається у SMS.

Мобільний оператор може отримати доступ до текстів SMS

SMS-повідомлення, що надсилаються користувачем, не шифруються із кінця в кінець. Це означає, що оператор мобільного зв'язку може бачити зміст повідомлень, які людина надсилає та отримує. Повідомлення зберігаються в системі постачальника послуг, подібно до Facebook, який може бачити повідомлення користувача.

Оператори мобільного зв'язку зберігають вміст SMS протягом декількох днів, але метадані зберігаються більш тривалий час. Метадані – це така інформація, як номер телефону, на який відправлено SMS, та час доставки. Цей тип записів зазвичай використовується для юридичних доказів; наприклад, текстові повідомлення зазвичай використовуються як доказ у процесах розлучень.

Спори про текстові повідомлення-привиди

У 2019 році багато людей скаржилися на те, що отримували дивні SMS та повідомлення поза контекстом від родичів, друзів та інших контактів. Провайдери мобільних послуг підтвердили технічний збій у телекомунікаційній інфраструктурі. Цей інцидент змусив людей замислитися над тим, чи достатньо безпечні SMS.

На жаль, SMS не є достатньо безпечним через його багатоступінчастий процес. Повідомлення з першої точки до другої є безпечним; від відправника до першої мобільної вежі повідомлення шифрується, але не після цього. Оператор мобільниго зв’язку зберігає повідомлення у себе, хоча відправник та одержувач можуть його вже видалити. Саме тут, за відсутності шифрування, виникає ризик злому.

Хакери шукають слабкі місця у віртуальному наскрізному шляху SMS між відправником та одержувачем. Весь шлях складається з різних мереж, постачальників послуг та комп'ютерних систем, які можуть мати вразливість, якою скористаються хакери.

Тексти зберігаються не декілька секунд, протягом яких вони можуть захистити себе від крадіжки хакерами, а триваліший час, що додає шансів на користь хакерів.

Вся справа в особистій конфіденційності

Звичайний громадянин навряд чи надсилатиме текстові повідомлення, що містять військові секрети, державну таємницю, або будь-які конфіденційні дані, які можуть стати в нагоді хакеру. Але що, якщо особисті текстові повідомлення, що містять плітки про начальника, друга та сімейні подробиці, будуть прочитані та переслані іншим? Це буде не дуже приємно, погодьтесь. А як щодо деяких конфіденційних особистих даних, таких як паролі, залишки на банківських рахунках чи відстеження місцезнаходження людини? Йдеться не про великі секрети, які потрібно захищати. Йдеться про захист особистого життя.

Іншими словами: навіщо турбуватися про безпеку SMS?

Існує безліч способів, за допомогою яких терористи, хакери, недемократичні уряди можуть зламати систему SMS у своїх інтересах. Уряди багатьох країн зламують системи за допомогою SMS. У 2019 році державні структури Китаю брали участь у розробці шкідливої ​​програми на базі Linux, яка могла красти SMS із мережі мобільного оператора. Шкідливу програму було встановлено на серверах Short Message Service Centre (SMSC) мережі мобільного оператора, які обробляли SMS-послуги.

Шкідлива програма містила список ключових слів, які становили геополітичний інтерес для китайської розвідки. Підкуплена хакерська група пов'язала ключові слова з телефонними номерами, які вони хотіли відстежити. Вони взаємодіяли із записами дзвінків та відстежували підозрюваних осіб, які становили інтерес для китайської розвідки. Пізніше цю шкідливу програму було виявлено в мережі оператора мобільного зв'язку американською компанією FireEye, що спеціалізується на кібербезпеці.

Як і фішинг, смайлінг - це термінологія, яка використовується для злому SMS-повідомлень. Слід пам'ятати, що ніколи не слід відповідати на заклики до дії SMS, надісланих з незнайомих номерів. Шахрайські повідомлення з проханням натиснути на URL-адресу можуть здаватися законними, – наприклад, від кур'єрської служби. Чекаючи на посилку, люди на секунду втрачають пильність, чого й чекають шахраї. Хакери майже завжди полюють на фактор страху користувачів "а раптом". SMS від влади, банків або кур'єра зазвичай зустрічаються зі страхом, що у разі
відсутності відповіді можуть бути штрафні санкції. Потім виникає дилема з OTP, отриманим через SMS, який вимагає авторизації за другим фактором, прив'язаним до мобільного телефону.

Як захистити себе від незахищених SMS?

Реагувати на будь-яке текстове повідомлення слід зважено. Необхідно звертати увагу на характер тексту, який зазвичай помітний. Наприклад, до повідомлень з невідомих джерел з особистими привітаннями, такими як "Привіт, друже", що виглядає не за правилами етикету, або з проханням перейти за застарілою URL-адресою компанії слід ставитись з обережністю. Якщо є сумніви, можна перевірити офіційний сайт відправника без натискання на SMS-повідомлення на телефоні. Банк може пропонувати вигідну кредитну пропозицію, яку можна перевірити на сайті банку або зателефонувавши безпосередньо до компанії та впевнившись у правдивості кредитної пропозиції.

SMS має свої прості переваги та добре працювало з простими несмартфонами раніше для використання тестових повідомлень для спілкування. Однак у смартфонах як Android, так і iOS від Apple з'явилася технологія, що дозволяє надсилати довгі тексти з можливістю вкладення. Apple iPhone має наскрізне шифрування, а такі чат-сервіси як WhatsApp і Signal безпечні.

В ідеалі, тепер з появою смартфонів, потрібно бути розумним, щоб використовувати будь-які текстові повідомлення тільки в WhatsApp. Є деякі важливі послуги, які і зараз потрібні на платформі SMS. Наприклад, отримання кодів безпеки через SMS для автентифікації номера мобільного телефону або кодів з програми таксі, доставки квітів чи баланс карти, як і раніше, необхідні. Це абсолютно нормально, поки людина не використовує SMS для особистих повідомлень.

Більшість трафіку, що проходить до пристроїв і від них, тепер зашифрована, але це вирішує лише половину проблеми. Ризик залишається доти, доки Ви не вибираєте, що відправляти, а що ні в SMS.