Ви можете подумати, що перехід з Facebook Messenger на старомодні текстові повідомлення допоможе захистити вашу конфіденційність. Але стандартні текстові повідомлення SMS не надто приватні чи безпечні. SMS схожий на факс – старий, застарілий стандарт, який відмовляється зникнути. Зараз же розкажемо, чому текстові SMS – повідомлення не є безпечними та приватними.
Ваш стільниковий оператор може бачити ваші SMS-повідомлення
За допомогою SMS повідомлення, які ви надсилаєте, не шифруються наскрізно. Ваш оператор стільникового зв'язку може бачити вміст повідомлень, які ви надсилаєте та отримуєте.
Стільникові оператори зберігають вміст цих повідомлень протягом різного періоду часу . Повідомлення часто зберігаються лише протягом декількох днів, але вони зберігають метадані (який номер надіслав повідомлення на який номер і в який час) ще довше. Ці записи можуть бути предметом повістки в судовому процесі - наприклад, записи текстових повідомлень є звичайною формою доказів у справах про розлучення.
Порівняйте це із наскрізним зашифрованим додатком чату, таким як Signal . Signal не бачить вмісту ваших повідомлень. Signal навіть не знає, з ким ви розмовляєте. Дані ваших розмов зберігаються лише на вашому пристрої та пристрої того, з ким ви спілкуєтесь - і все.
SMS-повідомлення можуть перехоплювати злочинці
Але SMS-повідомлення використовуються для безпеки, так? Є причина, чому кожен банк і фінансова установа покладаються на SMS-повідомлення для підтвердження вашої особи - так?
Ну так, є причина. Але ця причина не в безпеці. Просто у кожного є номер телефону. Вимагання підтвердження за допомогою SMS додає додатковий захист. Навіть якщо SMS не особливо захищений, він принаймні гарантує, що зловмисник повинен перехопити SMS-повідомлення на додаток до введення пароля.
SMS-повідомлення можуть бути перехоплені. Мережі мобільних телефонів у всьому світі пов’язані між собою за допомогою протоколу Системи сигналізації No 7 (SS7). Це те, як ваш телефон може підключатися до стільникової мережі та здійснювати та приймати дзвінки, навіть коли ви перебуваєте в іншій країні на іншому кінці світу.
На систему SS7 неодноразово нападали хакери, які підглядали SMS-повідомлення або перехоплювали їх. Це особливо корисно, наприклад, при компрометації банківських рахунків - зловмисники можуть переглядати коди підтвердження, які зазвичай надсилаються за допомогою SMS, використовувати їх для доступу до банківських рахунків та зливати їх.
Ось чому фахівці з безпеки рекомендують не використовувати SMS для двофакторної автентифікації . Додаток, який генерує коди на вашому пристрої або фізичний ключ безпеки, є набагато надійнішим. (Однак, якщо SMS - це єдиний доступний варіант, SMS краще, ніж нічого .)
SMS-повідомлення можуть контролюватися владою
Уряди усього світу мають доступ до " скатів ", пристроїв, які по суті представляють собою стільникову вежу. Якщо вони розміщені поблизу вашого фізичного місцезнаходження, вони обманюють ваш телефон, щоб він підключився до них (як телефон підключався до звичайної стільникової вежі). Потім пристрій скату може відстежувати ваші рухи та бачити текстові повідомлення - так само, як це може ваш мобільний оператор.
Окрім місцевого моніторингу, SMS-повідомлення також можуть бути змінені у великих системах спостереження.
Спецслужби багатьох країн також мають доступ до скатів та технології моніторингу SMS, тому зрозуміло, чому зашифровані комунікаційні програми, такі як Signal та Telegram, користуються особливою популярністю серед активістів, які живуть за репресивних режимів.
Ваш номер телефону напрочуд легко викрасти
Окрім SMS, телефонні номери насправді мають дуже низький рівень безпеки - на рівні оператора. Шахрай може зателефонувати вашому оператору стільникового зв'язку або зайти в магазин і видати себе за вас. Якщо шахрай має достатньо деталей і може обдурити представників служби обслуговування клієнтів вашого оператора, вони можуть отримати контроль над вашим номером телефону. У них оператор може "перевести" ваш номер телефону на інший оператор стільникового зв'язку - як це було б, якби ви переходили на іншого оператора стільникового зв'язку. Або оператор може випустити нову SIM-карту, пов’язану з вашим номером телефону, і деактивувати вашу існуючу SIM-карту, позбавивши доступу до вашого номера телефону.
Тепер зловмисник мав би ваш номер телефону. Завдяки цьому вони можуть отримати доступ до облікових записів, захищених двофакторною автентифікацією на основі SMS. Зрештою, для окремого шахрая обдурити службу обслуговування клієнтів простіше, ніж зламати SS7.
Ви часто можете захистити свій номер телефону, додавши додаткові PIN-коди та функції безпеки у свого оператора стільникового зв'язку. Зверніться до свого постачальника стільникових послуг, щоб дізнатись, які функції захисту вони пропонують для захисту від шахрайства з виведенням портів.
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.
