OPSEC52 / Неделя 4 — Разделение телефонных номеров
Ваш телефонный номер опаснее почты в роли мастер-ключа — это якорь в реальном мире, который операторы, брокеры данных и атакующие через SIM-swap считают вами. Перестаньте давать один и тот же номер банку, бирже и случайному форуму и перестаньте верить, что SMS что-то защищает.
Модель угрозы: атакующий через SIM-swap, который перехватывает ваш номер, чтобы опустошить аккаунты с SMS-2FA; перехват SMS уровня SS7; брокеры данных и приложения, связывающие ваши аккаунты через общий, привязанный к оператору номер, который ведёт прямо к вашему настоящему имени и адресу.
На прошлой неделе мы выдали каждому сервису свой почтовый алиас. На этой неделе мы чиним идентификатор, который хуже переиспользуемой почты, — ваш телефонный номер. Почту можно менять; номер оператора приварен к вашей юридической личности, платёжному адресу и физической SIM-карте, которую атакующий может выманить социальной инженерией.
Почему номер — худший мастер-ключ, чем почта
Почтовый алиас — это всего лишь правило пересылки. Номер оператора — это якорь личности в реальном мире: он привязан к KYC-аккаунту, платёжному адресу и SIM-карте в слоте, которую сотрудник за стойкой салона может перевыпустить. Три проблемы накладываются друг на друга:
- Он коррелирует. Один и тот же номер, отданный бирже, банку, приложению для знакомств и дырявому форуму, позволяет брокерам связать их все, а номер куда легче обратить в имя, чем почту.
- Он централизует. Тот, кто контролирует номер, может запустить «забыли пароль → пришлите код по SMS» на каждом аккаунте, где это разрешено.
- Его можно перехватить. В отличие от почты, которую вы контролируете из конца в конец, ваш номер живёт у оператора, чью поддержку можно уговорить, подкупить или зафишить, чтобы перенести его на SIM атакующего. Это и есть SIM-swap — самый частый способ, которым опустошают крипто- и ценные аккаунты.
SMS-2FA — это слабое звено, а не страховка
Коды по SMS создают ощущение защиты; на деле всё наоборот. SMS идёт по протоколам (SS7), которые никогда не проектировались для конфиденциальности, и всё рушится в тот момент, когда кто-то завладел вашим номером. Номер, который вы используете для 2FA, — это единая точка отказа для каждого стоящего за ним аккаунта. Правило: SMS допустим как канал доставки для неважных регистраций, но никогда как замок на том, что вам было бы жаль потерять.
- Замените SMS-2FA на TOTP-приложение (Aegis на Android или любой офлайн-аутентификатор), а лучше — на аппаратный ключ безопасности (FIDO2). Они никогда не покидают ваше устройство и не поддаются SIM-swap.
- Для аккаунтов, которые требуют номер, дайте им тот, который не жалко потерять (ниже), и всё равно включите TOTP как настоящий второй фактор.
Разделяйте: по номеру на каждый уровень доверия
Та же идея, что с персонами и алиасами, — подбирайте идентификатор под контекст:
- Ваш настоящий номер оператора — нулевой уровень. Не давайте его почти никому. Семья, может быть, врач. Никогда — бирже, маркетплейсу или чему-либо, обращённому в интернет. Если он не касается ни одного аккаунта, он не может ни один разблокировать.
- Стабильный VoIP / app-номер — повседневные аккаунты. Долгоживущий номер от VoIP- или app-провайдера для аккаунтов, которые вы держите, но которые не являются вашими сокровищами. Он живёт, но это не ваша операторская линия, поэтому swap там не затронет вашу настоящую SIM.
- Одноразовые номера для верификации — на выброс. Для бесконечных стен «подтвердите номер, чтобы продолжить» на сервисах, которыми вы воспользуетесь один раз, арендуйте одноразовый номер под каждую регистрацию и выбросьте. Регистрация получает код; вы никогда не раскрываете номер, который ведёт к вам. SMS / номерные провайдеры на xmr.club покрывают здесь варианты без KYC.
Что касается данных, eSIM только для данных держит вас на связи, не помещая на устройство KYC-голосовую линию вовсе, — удобно в поездках или когда вы просто не хотите, чтобы операторская личность следовала за вами между контекстами.
Тест на SIM-swap
Вот награда — так же, как «тест на утечку» на прошлой неделе работал для почты. Представьте атакующего, который сегодня ночью успешно перехватил ваш операторский номер. В мире общего номера он прогоняет сброс паролей по бирже, банку, почте и соцсетям раньше, чем вы заметите пропавшие палочки сети, — игра окончена. В разделённом мире этот номер не разблокирует ничего, потому что ничто важное им не пользуется и ничто важное не доверяет SMS. Swap превращается в неудобство (перевыпустить SIM), а не в катастрофу. В этом весь смысл: ни один отдельный идентификатор не должен мочь сломать вам неделю.
Частые ошибки
- Считать «второй номер» разделением. Один запасной номер, переиспользуемый везде, — это просто второй мастер-ключ. Единица измерения — по уровню, а не резерв.
- Оставлять SMS-2FA «на всякий случай». Резерв через SMS и есть поверхность атаки — атакующий просто запускает резерв. Уберите номер из аккаунта полностью, как только настроите TOTP/аппаратный ключ.
- Регистрировать одноразовый/VoIP-номер с данными, которые снова свяжут с вами. Одноразовый номер, оплаченный KYC-картой и вашей настоящей почтой, перечёркивает всё упражнение. Сочетайте его с почтовым алиасингом и приватной оплатой.
Смотрите также
- Неделя 3 — Почтовый алиасинг: другой идентификатор за каждым аккаунтом.
- Неделя 2 — Разделение личности: одна персона на одну задачу; телефонный номер — самая трудноподделываемая конечность персоны.
- xmr.club: SMS / номерные провайдеры и варианты eSIM — инструменты без KYC, которые делают номера по уровням практичными.
Куратор — Cyber Satoshi