Hablamos sobre la amenaza potencial para la seguridad y la privacidad cuando usamos SMS.
"Históricamente"
Los que se encontraron por primera vez con un teléfono móvil, además de las llamadas, descubrieron la presencia de mensajes de texto cortos. Y si inicialmente los mensajes se usaban a menudo para intercambiar información sin la participación de un operador en vivo (recuerde un buscapersonas), ahora se han convertido en la herramienta principal para notificaciones y verificación.
Realizamos una encuesta temática en nuestro
canal de telegramas :
Resultado: el 87% usa SMS . No es obvio para todos, pero la respuesta "
Solo para recibir notificaciones " amenaza la privacidad aún más que la correspondencia por SMS con alguien que no tiene mensajería instantánea. Felicitando a un pariente en vacaciones, piensa en lo que escribe. ¿Quién envía notificaciones?
La muestra es modesta, pero en grandes cantidades la diferencia será insignificante.
Amenaza n. ° 1: gastos no autorizados
Regularmente hay historias sobre suscripciones automáticas a servicios pagos. El mes pasado
en Habré habló sobre Megáfono :
Hace un año
sobre MTS en Medusa :
Para comprender el alcance del problema:
Amenaza n. ° 2: seguridad de la cuenta
Pierde una tarjeta SIM, se aplica con un pasaporte al salón de un operador de telefonía móvil, un empleado emite una nueva tarjeta con su número en un minuto. El escenario habitual? Puede hacer lo mismo por su propia voluntad, sin su conocimiento, si el beneficio excede las consecuencias y la probabilidad de castigo.
Pero la
reemisión de tarjetas SIM por proxy falso es notablemente más popular. Conscientes del problema, los operadores móviles ofrecen protegerse mediante la
prohibición de acciones en nombre del suscriptor por poder. Aunque podrían resolver el problema globalmente estableciendo una prohibición predeterminada.
Habiendo caído en las manos equivocadas, su número se convierte en la clave del correo, mensajería instantánea y muchos instrumentos de pago. Ahí es donde se utiliza la recuperación o verificación de acceso a través de SMS.
La noticia relativamente buena es que la mayoría de los bancos modernos pueden rastrear el hecho de un cambio en la tarjeta SIM, lo que significa que no se les permitirá ingresar al banco de Internet y no enviarán un código de confirmación para el pago en línea. Al menos hasta que confirme el cambio de tarjeta en el departamento o por teléfono. Pero no olvide que las entradas en el "Paquete de primavera" son mantenidas por el operador durante seis meses, y allí, entre otras cosas, están sus respuestas a las "preguntas secretas".
Las agencias de aplicación de la ley también pueden obtener control sobre su SMS, como ya
mencionamos anteriormente. Sin reemisión de una tarjeta SIM y completamente invisible para el suscriptor.
Amenaza 3: privacidad
Aquí está la parte divertida.
Notificaciones de empresas : servicios en línea, restaurantes, clubes, clínicas, tiendas, servicios de entrega, autos compartidos. Muchos firman sus mensajes, lo que significa que puede determinar de inmediato qué servicios utiliza el cliente. Cuánta información personal está contenida en dichos mensajes, puede imaginarse por sí mismo.
Notificaciones de los bancos . De tales mensajes puede obtener información:
• sobre saldos de cuentas;
• sobre retiros y reposición en los cajeros automáticos;
• sobre su facturación total para cualquier período;
• sobre depósitos: monto, plazo, intereses pagados;
• Acerca de préstamos aprobados, pagos sobre ellos y deudas;
• en tarjetas emitidas, en una parte de sus números y, a veces, en una parte o en un código pin completo;
• sobre todas las transacciones del usuario, sus compras;
• sobre el pago de facturas;
• sobre transferencias a otras personas, incluidos sus nombres y números de cuenta.
Y lo que ahorra el operador no está protegido por ningún "secreto bancario".
La información recopilada le permite crear un perfil de cliente completo y personalizado. Los análisis no requieren muchos recursos: la información textual sobre plantillas, palabras clave y el tipo de destino se procesa fácilmente mediante algoritmos.
Dicho perfil ofrece oportunidades casi ilimitadas para el operador y cualquier otra persona que haya recibido acceso no autorizado, incluida una fuga en la base de datos.
Acerca de las filtraciones en @dataleakAbra su SMS y vea qué información comparte con el operador de forma clara.
¿Cuántos archivos SMS se almacenan? Según la
investigación de Mobile-Review , 3 años,
según Maxim Katz, al menos 2 años.
Salga de la aguja SMS - no será fácil
Transacciones financieras
Pasamos a usar notificaciones Push en lugar de SMS.
Ejemplo de escenario de Alfa-Bank:
Un procedimiento similar está disponible en la mayoría de los otros bancos con aplicaciones móviles.
Confirmaciones de inicio de sesión de servicio
Utilizamos aplicaciones de verificación en el teléfono inteligente (Google Authenticator y análogos), tarjetas inteligentes, tokens, o al menos la confirmación por correo electrónico de un servicio de correo confiable.
Comunicación
Todas las personas con las que se comunica por SMS pueden ser transferidas a mensajeros seguros o relativamente seguros de fabricación extranjera. Muéstreles personalmente que usar mensajería instantánea no da miedo ni es doloroso.
Dos opciones más radicales
Para discusión.
Usar una tarjeta SIM extranjeraAlgunas dudas sobre la fiabilidad de esta opción:
- ¿Estos SMS están disponibles en texto claro para el operador local que presta servicios a un número extranjero mientras está en roaming?
- Guarda y debería guardarlos legalmente?
- ¿Está obligado a proporcionar información sobre los mensajes a dichos números a pedido?
Si alguien quiere hablar sobre la "cocina interior" de estos problemas, pero no está listo para hacerlo en comentarios públicos, puede escribir anónimamente en nuestro
bot de telegramas marcado "para Habr". Con su permiso, agregaremos información anónima al artículo.
Rechazo total de SMSEs difícil imaginar cómo vivir con eso. Pero en nuestra votación, esta opción obtuvo un 13% ...
¿Puedes rechazar por completo los SMS?