- Сообщения
- 53
- Реакции
- 54
У тебя может стоять последний айфон с обновлённой iOS. Шифрованный мессенджер, VPN, отпечаток пальца на разблокировке. И всё равно — твои SMS можно перехватить, звонки перенаправить, а местоположение определить с точностью до квартала. Причём не взламывая твой телефон вообще.
Проблема не в устройстве. Проблема в сети, через которую оно работает.
Что такое SS7
SS7 — Signaling System 7. Набор протоколов, который связывает телеком-операторов по всему миру. Разработан в 1970-х, стандартизирован в 80-х. С тех пор лежит в основе всей мобильной связи: звонки, SMS, роуминг, определение местоположения абонента.
Когда ты звонишь кому-то в другой стране, SS7 маршрутизирует вызов между операторами. Когда тебе приходит SMS от банка — SS7 доставляет его. Когда ты улетаешь в отпуск и телефон ловит местную сеть — SS7 обеспечивает роуминг.
Протокол работает поверх MAP (Mobile Application Part) — это уровень, который непосредственно общается с HLR (Home Location Register — база данных абонентов), MSC (коммутатор) и SMSC (центр SMS-сообщений).
Главная проблема: SS7 проектировался в эпоху, когда доступ к телеком-сети имели только крупные операторы. Поэтому в нём нет аутентификации. Любое сообщение, попавшее в сеть SS7, выполняется без проверки — кто его отправил и имеет ли право.
Что можно сделать через SS7
Перехват SMS. Атакующий отправляет MAP-сообщение UpdateLocation от имени "нового" MSC, где якобы зарегистрирован абонент. HLR верит и начинает маршрутизировать входящие SMS на подконтрольный узел. Ты даже не узнаешь — сообщение просто придёт не тебе, а атакующему. Или обоим, если он настроит проксирование.
Определение местоположения. Запросы anyTimeInterrogation и sendRoutingInfo возвращают Cell ID — идентификатор соты, к которой подключён телефон. В городе это точность до 100-300 метров. Для этого не нужно ничего устанавливать на устройство. Вообще ничего. Только знать номер.
Перенаправление звонков. Через RegisterSS можно установить безусловную переадресацию. Все входящие вызовы пойдут на другой номер. Жертва не увидит никаких уведомлений.
Прослушка. Комбинация перехвата и перенаправления. Звонок идёт через узел атакующего, записывается и пересылается дальше. Абонент разговаривает как обычно и ничего не подозревает.
Отказ в обслуживании. Можно отключить абонента от сети, отправив команду на отмену регистрации в текущем MSC. Телефон "выпадает" из сети до следующей попытки регистрации.
Кто имеет доступ
Вот тут самое неприятное. Раньше доступ к SS7 был только у крупных операторов. Сейчас ситуация другая.
Операторы связи. Любой оператор, включая маленьких региональных, имеет прямой доступ к SS7. А через роуминговые хабы — ко всем остальным операторам мира.
MVNO (виртуальные операторы). Многие из них получают доступ к SS7 через хостинг-провайдера. Контроль за тем, как они используют этот доступ, минимальный.
SMS-агрегаторы и VAS-провайдеры. Компании, которые занимаются массовой рассылкой SMS или предоставляют HLR-lookup сервисы. У них есть Global Title — адрес в сети SS7. И через него можно отправлять не только легитимные запросы.
Даркнет. SS7-эксплоиты продаются на форумах от $5 000 за пакет. В комплекте — zero-day payload'ы, списки уязвимых SS7-шлюзов, инструменты автоматизации. Доступ к Global Title через теневых операторов можно арендовать от $150 в месяц.
Итого: тысячи организаций по всему миру имеют техническую возможность отправлять SS7-сообщения в глобальную сеть. И далеко не все из них добросовестные.
Реальные кейсы
Германия, 2017. Хакеры через SS7 перехватывали SMS-коды двухфакторной аутентификации у клиентов O2 Telefonica. Сначала фишинг — выманивали логины и пароли к онлайн-банкам. Потом через SS7 перенаправляли входящие SMS на свои номера и подтверждали переводы. Деньги уходили в течение нескольких минут. O2 подтвердили атаку официально: "преступники провели атаку из сети зарубежного мобильного оператора в середине января".
UK, Metro Bank. Национальный центр кибербезопасности Великобритании (NCSC) подтвердил, что SS7 использовался для перехвата 2FA-кодов банковских клиентов. Metro Bank стал одним из публично идентифицированных пострадавших. NCSC официально заявил: "Нам известно об эксплуатации телекоммуникационной уязвимости для атаки на банковские счета путём перехвата SMS-сообщений, используемых в качестве двухфакторной аутентификации".
Европа, 2024. Организованная группа перехватывала SMS тысяч клиентов банков по всей Европе. Счета опустошались в течение часов. Масштаб — миллионы евро.
США, 2024. Кевин Бриггс из CISA (агентство кибербезопасности США) сообщил в FCC, что SS7-атаки использовались для получения геолокации, перехвата SMS и голосовых сообщений, доставки шпионского ПО и даже влияния на избирателей.
Почему это до сих пор не починили
Короткий ответ: потому что дорого и сложно.
SS7 — фундамент 2G и 3G сетей. В 4G его частично заменяет Diameter, в 5G — HTTP/2-based API. Но полный переход на 5G Standalone — это годы. А пока операторам нужна обратная совместимость. Твой 5G-телефон всё ещё может откатиться на 3G в зоне слабого покрытия, и привет SS7.
Плюс роуминг. Когда ты летишь в страну, где оператор работает на 2G/3G — всё общение идёт через SS7. И уязвимости вместе с ним.
Некоторые операторы ставят SS7-файрволлы — фильтруют подозрительные MAP-сообщения. Но внедрение неравномерное. Оператор в Европе может быть защищён, а его роуминговый партнёр в Юго-Восточной Азии — нет. А SS7-сеть глобальная, один слабый узел открывает доступ ко всем.
ENISA (агентство кибербезопасности ЕС) выпускает рекомендации. FCC (США) давит на операторов. EFF прямо заявляет: SS7 уязвим, и телекомы должны это признать. Но воз и ныне там. Операторы не любят тратить деньги на инфраструктуру, которую "скоро заменят". А "скоро" растягивается на десятилетия.
Что это значит для тебя
SMS — не безопасный канал. Точка. Если банк шлёт тебе OTP по SMS — это уязвимость, а не защита.
Вот что стоит сделать:
Не использовать SMS для 2FA. Переходи на TOTP (Google Authenticator, Authy) или аппаратные ключи (YubiKey). Везде где есть выбор — выбирай приложение, не SMS.
Не привязывать критичные сервисы к номеру телефона. Восстановление пароля через SMS — это открытая дверь. Если сервис позволяет — убирай номер как метод восстановления.
Понимать что "секретность" звонков и SMS — миф. SS7 передаёт данные открытым текстом внутри сети. Шифрование идёт только на последней миле (от вышки до телефона), и то далеко не всегда.
Для чувствительных разговоров — мессенджеры с E2E. Signal, XMPP с OMEMO. Не Telegram в обычных чатах — там нет end-to-end по умолчанию.
Не светить основной номер. Для регистраций — отдельная SIM. Для повседневного общения — другая. Чем меньше людей знают номер, привязанный к банкам и крипте, тем меньше вектор атаки.
Итого
SS7 — это протокол из 70-х, который до сих пор управляет твоей связью. Без аутентификации, без шифрования, с глобальным доступом для тысяч организаций. Эксплоит на даркнете стоит $5 000. Перехват твоего SMS-кода от банка — вопрос техники, не вопрос "возможно ли".
Это не теоретическая угроза. Банки в Германии, Великобритании и по всей Европе уже потеряли реальные деньги реальных клиентов. И пока телеком-индустрия не перейдёт полностью на 5G SA — а это не завтра — SS7 останется открытой дверью в твою приватность.
Защита от этого простая: не доверяй SMS ничего важного.
Проблема не в устройстве. Проблема в сети, через которую оно работает.
Что такое SS7
SS7 — Signaling System 7. Набор протоколов, который связывает телеком-операторов по всему миру. Разработан в 1970-х, стандартизирован в 80-х. С тех пор лежит в основе всей мобильной связи: звонки, SMS, роуминг, определение местоположения абонента.
Когда ты звонишь кому-то в другой стране, SS7 маршрутизирует вызов между операторами. Когда тебе приходит SMS от банка — SS7 доставляет его. Когда ты улетаешь в отпуск и телефон ловит местную сеть — SS7 обеспечивает роуминг.
Протокол работает поверх MAP (Mobile Application Part) — это уровень, который непосредственно общается с HLR (Home Location Register — база данных абонентов), MSC (коммутатор) и SMSC (центр SMS-сообщений).
Главная проблема: SS7 проектировался в эпоху, когда доступ к телеком-сети имели только крупные операторы. Поэтому в нём нет аутентификации. Любое сообщение, попавшее в сеть SS7, выполняется без проверки — кто его отправил и имеет ли право.
Что можно сделать через SS7
Перехват SMS. Атакующий отправляет MAP-сообщение UpdateLocation от имени "нового" MSC, где якобы зарегистрирован абонент. HLR верит и начинает маршрутизировать входящие SMS на подконтрольный узел. Ты даже не узнаешь — сообщение просто придёт не тебе, а атакующему. Или обоим, если он настроит проксирование.
Определение местоположения. Запросы anyTimeInterrogation и sendRoutingInfo возвращают Cell ID — идентификатор соты, к которой подключён телефон. В городе это точность до 100-300 метров. Для этого не нужно ничего устанавливать на устройство. Вообще ничего. Только знать номер.
Перенаправление звонков. Через RegisterSS можно установить безусловную переадресацию. Все входящие вызовы пойдут на другой номер. Жертва не увидит никаких уведомлений.
Прослушка. Комбинация перехвата и перенаправления. Звонок идёт через узел атакующего, записывается и пересылается дальше. Абонент разговаривает как обычно и ничего не подозревает.
Отказ в обслуживании. Можно отключить абонента от сети, отправив команду на отмену регистрации в текущем MSC. Телефон "выпадает" из сети до следующей попытки регистрации.
Кто имеет доступ
Вот тут самое неприятное. Раньше доступ к SS7 был только у крупных операторов. Сейчас ситуация другая.
Операторы связи. Любой оператор, включая маленьких региональных, имеет прямой доступ к SS7. А через роуминговые хабы — ко всем остальным операторам мира.
MVNO (виртуальные операторы). Многие из них получают доступ к SS7 через хостинг-провайдера. Контроль за тем, как они используют этот доступ, минимальный.
SMS-агрегаторы и VAS-провайдеры. Компании, которые занимаются массовой рассылкой SMS или предоставляют HLR-lookup сервисы. У них есть Global Title — адрес в сети SS7. И через него можно отправлять не только легитимные запросы.
Даркнет. SS7-эксплоиты продаются на форумах от $5 000 за пакет. В комплекте — zero-day payload'ы, списки уязвимых SS7-шлюзов, инструменты автоматизации. Доступ к Global Title через теневых операторов можно арендовать от $150 в месяц.
Итого: тысячи организаций по всему миру имеют техническую возможность отправлять SS7-сообщения в глобальную сеть. И далеко не все из них добросовестные.
Реальные кейсы
Германия, 2017. Хакеры через SS7 перехватывали SMS-коды двухфакторной аутентификации у клиентов O2 Telefonica. Сначала фишинг — выманивали логины и пароли к онлайн-банкам. Потом через SS7 перенаправляли входящие SMS на свои номера и подтверждали переводы. Деньги уходили в течение нескольких минут. O2 подтвердили атаку официально: "преступники провели атаку из сети зарубежного мобильного оператора в середине января".
UK, Metro Bank. Национальный центр кибербезопасности Великобритании (NCSC) подтвердил, что SS7 использовался для перехвата 2FA-кодов банковских клиентов. Metro Bank стал одним из публично идентифицированных пострадавших. NCSC официально заявил: "Нам известно об эксплуатации телекоммуникационной уязвимости для атаки на банковские счета путём перехвата SMS-сообщений, используемых в качестве двухфакторной аутентификации".
Европа, 2024. Организованная группа перехватывала SMS тысяч клиентов банков по всей Европе. Счета опустошались в течение часов. Масштаб — миллионы евро.
США, 2024. Кевин Бриггс из CISA (агентство кибербезопасности США) сообщил в FCC, что SS7-атаки использовались для получения геолокации, перехвата SMS и голосовых сообщений, доставки шпионского ПО и даже влияния на избирателей.
Почему это до сих пор не починили
Короткий ответ: потому что дорого и сложно.
SS7 — фундамент 2G и 3G сетей. В 4G его частично заменяет Diameter, в 5G — HTTP/2-based API. Но полный переход на 5G Standalone — это годы. А пока операторам нужна обратная совместимость. Твой 5G-телефон всё ещё может откатиться на 3G в зоне слабого покрытия, и привет SS7.
Плюс роуминг. Когда ты летишь в страну, где оператор работает на 2G/3G — всё общение идёт через SS7. И уязвимости вместе с ним.
Некоторые операторы ставят SS7-файрволлы — фильтруют подозрительные MAP-сообщения. Но внедрение неравномерное. Оператор в Европе может быть защищён, а его роуминговый партнёр в Юго-Восточной Азии — нет. А SS7-сеть глобальная, один слабый узел открывает доступ ко всем.
ENISA (агентство кибербезопасности ЕС) выпускает рекомендации. FCC (США) давит на операторов. EFF прямо заявляет: SS7 уязвим, и телекомы должны это признать. Но воз и ныне там. Операторы не любят тратить деньги на инфраструктуру, которую "скоро заменят". А "скоро" растягивается на десятилетия.
Что это значит для тебя
SMS — не безопасный канал. Точка. Если банк шлёт тебе OTP по SMS — это уязвимость, а не защита.
Вот что стоит сделать:
Не использовать SMS для 2FA. Переходи на TOTP (Google Authenticator, Authy) или аппаратные ключи (YubiKey). Везде где есть выбор — выбирай приложение, не SMS.
Не привязывать критичные сервисы к номеру телефона. Восстановление пароля через SMS — это открытая дверь. Если сервис позволяет — убирай номер как метод восстановления.
Понимать что "секретность" звонков и SMS — миф. SS7 передаёт данные открытым текстом внутри сети. Шифрование идёт только на последней миле (от вышки до телефона), и то далеко не всегда.
Для чувствительных разговоров — мессенджеры с E2E. Signal, XMPP с OMEMO. Не Telegram в обычных чатах — там нет end-to-end по умолчанию.
Не светить основной номер. Для регистраций — отдельная SIM. Для повседневного общения — другая. Чем меньше людей знают номер, привязанный к банкам и крипте, тем меньше вектор атаки.
Итого
SS7 — это протокол из 70-х, который до сих пор управляет твоей связью. Без аутентификации, без шифрования, с глобальным доступом для тысяч организаций. Эксплоит на даркнете стоит $5 000. Перехват твоего SMS-кода от банка — вопрос техники, не вопрос "возможно ли".
Это не теоретическая угроза. Банки в Германии, Великобритании и по всей Европе уже потеряли реальные деньги реальных клиентов. И пока телеком-индустрия не перейдёт полностью на 5G SA — а это не завтра — SS7 останется открытой дверью в твою приватность.
Защита от этого простая: не доверяй SMS ничего важного.
