有时,当您呼叫管理服务时,它会告诉您“拨 1 以访问此类服务。拨 2 以访问其他服务。否则,请拨 3。”
如果有人来学习我选择“2”没有坏处。
但是我最近换了一家新银行。当我打电话给这家银行时,它要求我拨打我的客户参考号和我的密码。
以下是我想到的事情:
您的敏感信息通过不同的媒介和系统到达银行,是的,这条路径存在漏洞。
首先,它从您的指尖传输到您的拨号器应用程序。它可以被手机上运行的恶意软件拦截。Android 中有一个名为Stagefright的新漏洞,可以完全访问 Android 手机。
在退出手机之前,数据被发送到手机的不同部分,该部分进行实际通信,称为运行实时操作系统的基带处理器。此操作系统存在一些漏洞,此处介绍了一些最有趣的漏洞。
然后音频音调 (DTMF) 被加密并通过空中发送到 GSM 基站。在全球几乎所有地区,GSM 都是加密的,如果没有加密,几乎所有手机都会通知您。这里的问题是 2G 通信使用的是A5/1 加密方案,该方案被故意削弱以供政府访问,并且拦截和破解它既容易又便宜。3G 和 4G 具有更好的加密,但攻击者可以干扰目标周围更安全的频率,并迫使目标手机使用易受攻击的 2G。这里一个更大的问题是,一些银行使用SMS 来验证银行业务,而 SMS 始终通过 2G 网络。
还有人指控NSA 入侵了世界上大多数 SIM 加密密钥的数据库,但金雅拓发誓NSA 没有得到这些密钥。
但电话可能与假基站通话。这种假的 GSM 塔通常被称为IMSI 捕捉器,可供执法人员和攻击者使用。有用于构建假基站的开源软件和硬件,并于 2010 年进行了演示。
然后,信息在电信网络中传播,可能会被位置优越的攻击者或获得合法窃听的政府拦截。2014 年,SS7 攻击被公开。它允许跟踪和拦截世界任何地方的3G 通信,而不仅仅是本地。
最后一步是在银行的系统中。这看起来是一个更安全的地方,因为银行比普通企业更重视安全性,但在评估能够验证这一点之前,您无法真正确定。
回到你的问题:
- 这些数据是加密的吗?我对电话通信不太了解,但我想我和我的对话者之间存在节点。我可以信任这些节点吗?
正如我所说,语音通信是加密的,但网络的不同部分存在漏洞
- 有人可以听我的谈话并抓住我的凭据吗?
有可能的。这取决于您的手机、攻击者的能力以及您的手机运营商的漏洞。
- 有人可以伪造我银行的电话号码来获取我的凭据吗?
据我所知,没有 GSM 漏洞可以这样工作,但是有恶意软件会阻止访问您的网上银行,然后会让您拨打一个假装是银行的电话号码。这样,用户在泄露敏感信息时就不会那么怀疑了。
- 我的密码不应该被散列吗?它是按原样存储的吗?我认为即使是我的银行也不应该知道我的密码。
我不知道您通过电话访问银行时的实际过程是什么,但您的银行不必以明文形式存储您的密码。当您传输它时,它可以被散列并与存储在银行计算机中的散列版本进行比较。这与以明文形式传输密码的 Web 身份验证没有什么不同。
但是不要惊慌,您被这种方式专门针对的总体风险相当低,因为坏人还有其他更简单的方法可以从大量用户那里窃取信息。风险也降低了,因为对 GSM 的许多攻击都需要物理上的接近性和更高的复杂性。银行可以快速关闭此类漏洞,因为它们会注意到某些卡或帐户是否被盗用,并会追踪被盗用的来源。
这些数据是加密的吗?
是的,3G 和 4G 都有加密。但是,这种加密不是端到端加密,它只是从移动设备到基站。您的移动运营商或政府情报机构很容易拦截通信。
使用有线电话,我相信您的手机和基站之间不会发生加密。然而,攻击者必须物理地钩入电线进行拦截,这对大多数攻击者来说已经足够威慑了。
我对电话通信不太了解,但我想我和我的对话者之间存在节点。我可以信任这些节点吗?
这取决于您的移动运营商。您信任您的运营商和政府吗?您是否相信您的移动运营商在保护其网络方面的能力?
有人可以听我的谈话并抓住我的凭据吗?
可能。
有人可以伪造我银行的电话号码来获取我的凭据吗?
移动运营商可以很容易地做到这一点,他们可以让政府机构有能力做到这一点。侵入移动运营商网络并获得中央控制权的人也可以做到这一点。在实践中,进行这种攻击可能需要大量有组织的犯罪分子和一些运营商员工的阴谋。
我的密码不应该被散列吗?它是按原样存储的吗?我认为即使是我的银行也不应该知道我的密码。
当您在电话上拨入号码时,它只是作为DTMF音发送到另一端。换句话说,它们是以纯文本形式发送的。请注意,这与基于 HTTP(S) 的普通密码身份验证没有任何不同。不过,银行可能不一定将您的代码存储为纯文本,他们很可能会通过散列和加盐将其存储在他们的数据库中。不过,拨入号码的优势之一(与通过电话说出号码相反)是,您的代码永远不会通过可以复制您的代码的人工操作员。有了适当的安全控制(而且大多数银行确实非常关心安全),破坏计算机系统通常比破坏呼叫中心工作人员更难。
其他答案都很好,但重点是手机,所以我想谈谈固定电话。
在谈论电话线或网络之前,让我们先谈谈电话本身。今天的大多数固定电话都是无绳电话,你几乎可以在任何地方买到。他们使用DECT,这是一种具有专有加密的协议,该协议已被破坏,只需要DECT NIC加上一些 CUDA GPU 时间即可破解加密(如果它甚至已启用)。不需要物理访问。攻击者可以窃听您的电话、欺骗您的银行号码并进行各种其他恶行,甚至无需接触电话网络。这就像破解 WEP 密钥一样容易,而且这些电话如此普遍的事实并没有让它变得更好。
现在让我们谈谈 POTS(史前模拟电话线)和 DSL 和光纤提供商提供的新“假” POTS。
使用传统的 POTS,音频通过电话线以清晰的方式传输,有时甚至超过几公里。根据您所在的国家和 POTS 基础设施的状况,电缆可能(相对)安全地位于地下、电线杆上的空中,或者损坏,几乎不挂在某处的电线杆上。窃听就像在电线上连接另一部电话并录音一样容易,但这仍然比破坏 DECT 更难,并且需要物理访问。我不是电气工程师,但我怀疑也可能存在与其他线路串扰形式的泄漏,这可能是由旧/损坏的开关设备引起的,因此使用可能很昂贵的设备,有人可能能够从另一条线路监听共享相同的开关或接线。
有了新的假 POTS,实际上是 VoIP 在调制解调器/路由器内部变成了带有FXS硬件的 POTS(这实际上非常愚蠢,因为它们迫使用户购买通常不安全的无线电话并降低质量而不是使用 IP 电话和安全加密)。
破坏调制解调器/路由器足以监听并冒充您的银行或任何其他号码。不需要物理访问,可以在线进行攻击,因为调制解调器/路由器直接暴露在 Internet 上并且通常具有灾难性的固件。
如果不可能破坏调制解调器,则可能会窃听实际的 DSL 线路、电缆或光纤,并从那里攻击 VoIP 协议(SIP 或 MGCP)。显然需要物理访问,而且大多数设备都相对昂贵,所以我不会担心银行数据 - MITM 的你的 DSL 线路的人肯定不会在关注你的银行数据,因为他自己的账户中可能已经比你拥有更多如果您的银行数据被盗,请这样做,那么您的 DSL 线路不太可能是罪魁祸首。
DSL 窃听需要昂贵的设备(基本上是 DSLAM),但是一旦完成,就没有对 DSL 流量进行加密。PPPoE 和 IPoA 都只是封装。
电缆和光纤窃听更容易。电缆 (DOCSIS) 和消费级光纤 (PON) 都向连接到同一个 CMTS/OLT 的每个人广播下行流量,它应该是加密的,但我不指望它被启用(法国最大的 DOCSIS 提供商没有上次我在 2013 年末检查时启用了它)。收听有线下行频道只需要基本的 DVB-C 电视调谐器卡,而传输则需要有根的有线调制解调器。PON窃听需要下行通道的根ONT,但我相信在光纤的情况下物理访问OLT是必要的——上行通道可能不会广播给所有人。
一旦我们假设 DSL/光纤/电缆被损坏并且 MITM'd,就有实际的 VOIP 协议,SIP 或 MGCP。两者都支持加密,但我怀疑它是否已启用。很可能不是,所以收听会很容易。如果启用了加密,您仍然可以尝试 MITM 连接,很可能在调制解调器/路由器上运行的糟糕的 SIP 客户端无法正确验证证书并且会接受您的自签名证书。
这就是将您连接到电话提供商(通常是您的 ISP)的部分。一旦到达那里,您的呼叫可能会通过许多遗留系统和潜在的不安全系统,甚至呼叫中心的基础设施也可能是一场灾难。遗憾的是,DECT 和 DSL 部分可能只是冰山一角。
关于来电显示,它在设计上具有欺骗性。电话提供商可以将呼叫者 ID 字符串设置为任何内容,并且可以正常工作。大多数提供商通常会阻止最终用户设置他们自己的来电显示,但我确信有些提供商不会进行这些检查,攻击者可以使用这些提供商冒充任何号码。