Холодный телефон

0
2259
Интересный факт: чем умнее ваш телефон, тем проще киберпреступникам заполучить с него данные. Как же дорог каждому из нас этот симпатичный прямоугольный предмет! В нем без преувеличения вся наша жизнь – это устройство не только хранит все ваши фото, переписки, пароли, но и знает, кто мы такие, кому звоним, куда ходим, что покупаем, что едим, на что и когда тратим деньги… Телефон сегодня может рассказать о своем владельце намного больше, чем даже самая пристальная слежка в прошлом. Вы же наверняка замечали, что вас слушают? Стоит только произнести вслух, что вам что-то понадобилось, как реклама этого чего-то появится везде: в соцсетях, на сайтах, она будет преследовать вас всплывающими окнами и доставать со всех возможных носителей. Но это не самое страшное.

Куда больше вам не понравится, если кто-то вдруг завладеет вашими фото или документами, паролями и банковскими счетами.

Стоит уже признать, что мы живем в мире, где любая информация становится предметом продажи. За последнее время все чаще и чаще читаю в соцсетях, как кому-то взломали инстаграм, гугл-аккаунт или заблокировали айфон. На черных рынках уже вовсю продаются цифровые личности – это аккаунты людей, с помощью которых можно притвориться в сети другим человеком, надеть его образ, прикрыться им как щитом и, например, запутать правоохранительные органы. Ну и, естественно, самым излюбленным и популярным у мошенников является вариант кражи денег через интернетбанкинг, ведь проще простого забраться в смартфон через мессенджер и завладеть смс-кодом, чтобы украсть с вашей карты какое-то количество денег.

Что же делать со всеми этими рисками, учитывая тот факт, что никто из нас с вами от удобств смартфона точно не откажется?

Лично мне очень понравилось выступление Дмитрия Кана, директора Engine.ER Lab, на международной конференции BIT’21. Уж больно простой и довольно действенный, по его словам, способ он предлагает.

А называется этот способ – холодный телефон. В мире криптоинвесторов все знают, что такое холодный кошелек. Такой кошелек является самым надежным способом хранения криптосредств. Холодный кошелек не имеет прямого соединения с Интернетом, поэтому хакеры не могут украсть из него средства, это возможно только при непосредственном физическом доступе к носителю информации с кошельком.

По аналогии с этим Дмитрий Кан называет холодным телефоном (cold storage phone → #coldstoragephone) простой кнопочный телефон-фонарик (2G GSM или GSM Phase 2), который не поддерживает WiFi, GPRS, EDGE, 3G, 4G, 5G и Bluetooth.

«Холодный телефон может только звонить (GSM calls), принимать и отправл ять SMS. И еще у него есть фонарик! C инженерной точки зрения холодный телефон является межсетевым экраном (firewall), который изолирует установленную в него SIMкарту от сети Интернет (и от хакеров)», – говорит Дмитрий.

Как защититься от взлома

Все мобильные приложения и облачные сервисы привязывают ваш аккаунт к номеру мобильного телефона. Большинство пользователей регистрируют свои аккаунты на номер, установленный в смартфоне, но эта схема очень уязвима. При попытке изменения аккаунта и для подтверждения важных операций вам на этот номер отправляют SMS с одноразовым кодом (OTP-via-SMS). Однако, когда смартфон скомпрометирован, такая проверка теряет смысл – SMS приходит прямо «в руки» хакеров.

Дмитрий Кан предлагает установить SIM-карту с номером, на который зарегистрированы ваши аккаунты в соцсетях и мобильный-банкинг, в холодный телефон. И все – вы защищены, гарантирует он.

Холодный телефон необходим, чтобы входящие SMS с кодами авторизации не «приземлялись» на ваш смартфон, который может быть взломан хакерами. Маршрутизация GSM-звонков в обход смартфона также повышает вашу личную информационную безопасность, например хакеры не смогут перехватить или отбить входящий звонок из банка на ваш холодный телефон. Теперь, даже взломав ваш смартфон, хакеры не смогут автоматически получить OTP-код и украсть деньги через мобильный банкинг или угнать ваш аккаунт, перерегистрировав его на другой номер (особенно актуально для бизнес-аккаунтов в WhatsApp при наличии агрессивных конкурентов). Да, продвинутые хакеры могут перехватить OTPкод с эфира, но для этого им потребуется приложить многократно большие усилия и спецоборудование. Им проще взломать другой смартфон, владелец которого поленился установить

SIM-карту с регистрационным номером в холодный телефон. SIM-карта с вашим регистрационным номером должна быть установлена в холодном телефоне. Это самая простая и надежная защита вашей цифровой собственности.

Возможны два варианта перехода к схеме с холодным телефоном.

Вариант 1: ваши аккаунты зарегистрированы на номер, установленный в вашем смартфоне, и вы не хотите его менять на другой. Просто переставьте SIM-карту с этим номером из вашего смартфона в холодный телефон. Тариф для SIM-карты с номером M1 в холодном телефоне надо изменить на голосовой – интернет-трафик на нем не потребуется. В смартфон нужно установить SIM-карту с другим (новым) номером и интернет-тарифом. Этот вариант не требует изменения зарегистрированного номера мобильного телефона в ваших аккаунтах в соцсетях и в мобильных банкингах – вы просто переставляете SIM-карты. Все диалоги и настройки в мессенджерах сохранятся. Ваши контакты по переписке ничего не заметят.

Вариант 2: вы не хотите переставлять SIMкарту из вашего смартфона, например у вас на ней очень выгодный (архивный) тариф. Тогда установите SIM-карту с новым номером в холодный телефон и измените зарегистрированный номер мобильного телефона в аккаунтах в WhatsApp, Telegram, Instagram, Facebook и мобильных банкингах на этот новый номер, используя штатные функции приложений. Перед этой операцией сделайте резервную копию во всех мессенджерах и пересохраните все контакты в телефонной книге.

Usability

Вы рекламируете только один единый номер и регистрируете на этот номер все ваши мессенджеры и облачные сервисы. Вашим клиентам не надо запоминать, какой номер вы используете для Telegram, какой для WhatsApp, какой номер у вас основной, а какой резервный – вы всегда доступны на всех мессенджерах на едином номере. Более того, вы можете одновременно принять звонок на смартфон через Telegram / WhatsApp и GSMзвонок на холодный телефон, так как звонки поступают на разные устройства.

Когда в смартфоне сядет аккумулятор, вы по-прежнему сможете принимать звонки и SMS на холодном телефоне на том же номере.

Звонки через сеть GSM не разряжают аккумулятор вашего смартфона, а значит, вы дольше остаетесь онлайн.

На утреннюю пробежку вы сможете взять с собой легкий компактный холодный телефон, оставив смартфон дома и оставаясь на связи для важных звонков и SMS-сообщений.

При утере смартфона вы всегда сможете практически моментально восстановить доступ к WhatsApp, Telegram, Instagram и другим облачным сервисам – SIM-карта с зарегистрированным номером сохранится в холодном телефоне. При установке WhatsApp на новом смартфоне вам нужно будет указать зарегистрированный номер, WhatsApp пришлет вам на холодный телефон SMS с проверочным кодом, вы его введете на новом смартфоне и… ваша последняя сохраненная конфигурация WhatsApp «переедет» на ваш новый смартфон. При этом ваш WhatsApp-аккаунт на утерянном смартфоне будет заблокирован автоматически.

При утере холодного телефона вы теряете только недорогой мобильник и SIM-карту, которая легко блокируется и восстанавливается. Тем самым вы уменьшаете риски одновременной потери смартфона и SIM-карты.

Вы можете отключить холодный телефон и пользоваться только смартфоном (ведь в нем установлена SIM-карта с другим номером и интернеттарифом), хранить холодный телефон в сейфе и включать только по мере необходимости.

А вот так Дмитрий Кан отвечает на FAQ:

Зачем нужен холодный телефон?

Взлом смартфона может привести к полной утрате ВСЕХ ваших аккаунтов в Instagram, YouTube, Facebook, W hatsApp, Telegram. Хакеры могут одномоментно украсть всю вашу цифровую собственность (digital property) в облаках, включая криптовалюту и деньги, доступные через мобильный банкинг. Для блогеров и компаний взлом аккаунтов означает потерю клиентской базы. Холодный телефон практически полностью исключает эти риски.

Я получил OTP-код авторизации, который не запрашивал, на холодный телефон.

С вероятностью 99,99 % ваш холодный телефон зарегистрировал и пресек попытку взлома вашего облачного или мобильного аккаунта. Вам нужно «зачистить» смартфон от зловредов.

Я уже пользуюсь смартфоном и простым GSMтелефоном. Как перейти к схеме с холодным телефоном?

Просто переставьте SIM-карты между смартфоном и простым GSM-телефоном. Или перерегистрируйте свои аккаунты в WhatsApp, Telegram, Instagram, Facebook, Mail.ru или Gmail на ваш номер в простом GSM-телефоне. Инструкции по смене номера есть у всех мессенджеров и облачных сервисов.

Все, теперь ваша SIM-карта с номером, на который зарегистрированы ваши аккаунты, защищена холодным телефоном, который не смогут взломать хакеры.

Я пользуюсь двумя смартфонами и не хочу использовать холодный телефон.

Поменяйте SIM-карты в ваших смартфонах местами – это несколько усложнит взлом ваших смартфонов хакерам. Когда вас взломают, купите простой GSM-телефон и перейдите к надежной схеме с холодным телефоном.

Мой банк требует наличия антивируса на смартфоне и ничего не говорит о холодном телефоне!

Банки заинтересованы в конверсии продаж – проще говоря, банки хотят, чтобы ВСЕ клиенты банка пользовались его мобильным банкингом. Банки не хотят, чтобы клиенты знали реальный уровень угроз, так как опасаются оттока клиентов и снижения объема операций.

По договору с банком клиент банка (то есть вы) обязан обеспечить конфиденциальность своего логина, пароля, PIN-кода и кодов авторизации, которые приходят через SMS (OTP-via-SMS). Суровая правда в том, что хакеры давно научились обходить все вышеперечисленные меры безопасности. Банки об этом знают и поэтому юридически перекладывают все риски на клиентов. Вы пользуетесь мобильным банкингом на свой страх и риск, банки не рискуют. Когда хакеры установят на ваш смартфон банальный keylogger, вы сами (своими действиями) сообщите им все ваши актуальные логины, пароли и PIN-коды, а перехват SMS с кодом авторизации, которые приходят на смартфон, – для хакеров школьная задача для начальных классов. Появились так называемые «бестелесные» вирусы и вирусы, которые маскируются под системные процессы операционной системы – антивирусы их просто не видят. Есть многочисленные факты заражения смартфонов зловредными программами еще на заводе-изготовителе – в этом случае вирусы физически «зашиты» в BIOS или в других микросхемах, и их нельзя удалить программными способами (требуется жесткая перепрошивка). Основная причина всех проблем в том, что абсолютно все производители операционных систем и аппаратного обеспечения закладывают бэкдоры (backdoor) для сбора персональных данных еще на этапе проектирования софта и железа. Антивирусы не могут контролировать системные процессы на уровне ядра операционной системы, и поэтому все антивирусы бессильны перед уязвимостями нулевого дня (zero-day vulnerability).

Я переставил SIM-карту с основным номером в другой смартфон и отключил его от Интернета.

Во всех смартфонах есть незадекларированные возможности, заложенные еще на этапе проектирования. Зловреды могут поставляться в абсолютно новых устройствах в заводской упаковке. Зловреды могут изменять любые программные установки от имени пользователя – программные решения и настройки создают только иллюзию безопасности. Реально отключить смартфон от Интернета можно только аппаратными мерами: необходимо извлечь из него SIM-карты (исключаем 3G…5G, GPRS, EDGE), выпаять или физически разрушить контроллеры и антенны WiFi, BlueTooth и NFC (без специалиста вы их не найдете, и не факт, что смартфон сохранит работоспособность после такого хардкорного «тюнинга»). Но, удалив SIM-карты, мы уже теряем возможность принимать SMS и совершать звонки. Проще переставить SIM-карту в холодный телефон.

Адель Ануарбекова по материалам Дмитрия Кана