Обмен текстовыми сообщениями - один из самых распространенных способов общения. Предприятия используют SMS для отправки важных новостей, а люди - для повседневных разговоров. Но задумывались ли вы когда-нибудь: "Безопасны ли текстовые сообщения?". Ответ: не совсем.
В то время как другие современные сервисы обмена сообщениями используют усовершенствованную защиту шифрованных сообщений, в сетях мобильных телефонов шифрования SMS не существует. Это делает ваш SMS-ящик очень уязвимым для хакеров, взлома сети и перехвата. Если вы заботитесь о конфиденциальности, вам необходимо понять, как работает SMS-шифрование и как вы можете защитить свои сообщения.
В этом блоге мы расскажем о шифровании SMS, о том, безопасны ли SMS, о рисках, связанных с незашифрованными сообщениями, и о том, как можно защитить свои текстовые разговоры.
Что такое сквозное шифрование?
Шифрование - это операция по обеспечению безопасности, при которой данные зашифровываются таким образом, что прочитать их могут только аутентифицированные стороны. Для сквозного шифрования в основном использует асимметричную криптографию, что означает, что уникальная пара открытых и закрытых ключей шифрует и расшифровывает сообщения.
В отличие от симметричного шифрования (используемого в SSL/TLS), это гарантирует, что только получатель сможет расшифровать сообщение, что исключает необходимость в общем ключе, который может быть перехвачен.
Как работает E2EE?
- Когда вы отправляете сообщение, перед передачей на вашем устройстве выполняется шифрование.
- Сообщение проходит по сети в зашифрованном виде, и никто не может его прочитать, кроме человека, который играет важную роль в передаче.
- Расшифровать и прочитать сообщение может только пользователь устройства.
Пример: Когда вы отправляете сообщение в WhatsApp или Signal, даже компании, управляющие этими платформами, не могут его прочитать, потому что ключи шифрования существуют только на вашем устройстве и устройстве получателя.
Зашифрованы ли SMS?
Основная проблема безопасности SMS заключается в том, что обычные текстовые сообщения не шифруются.
Это означает:
- Сообщения в сотовых сетях передаются без шифрования.
- Ваш оператор мобильной связи может читать и хранить сообщения, которые вы отправляете через SMS.
- Хакеры могут перехватывать SMS-сообщения.
- Правительства и правоохранительные органы могут получить доступ к вашим сообщениям.
В отличие от современной системы обмена сообщениями, в которой приоритет отдается шифрованию текстовых сообщений, SMS построена на устаревшей технологии, в которой отсутствуют встроенные меры безопасности. Если вы часто используете SMS для общения, важно изучить безопасные альтернативы или такие функции, как расписание текстовых сообщений, чтобы управлять сообщениями более эффективно, не забывая при этом о рисках конфиденциальности.
Не дайте киберугрозам подорвать вашу безопасность!
Используйте ControlHippo для защиты конфиденциальной информации и повышения эффективности коммуникаций.
Как путешествуют SMS-сообщения и почему они небезопасны
Когда вы отправляете SMS, путь вашего сообщения проходит следующим образом:
- Ваш телефон отправляет сообщение в сеть вашего оператора.
- Оператор передает сообщение оператору получателя.
- Получатель видит сообщение на телефоне.
Сообщения могут быть перехвачены, зарегистрированы или прочитаны в любой момент этого процесса. Поэтому, несмотря на то, что крайне конфиденциальные разговоры должны иметь место, эксперты по безопасности не рекомендуют использовать SMS.
По данным Open Web Application Security Project (OWASP), SMS-сообщения уязвимы в нескольких точках на пути следования. Злоумышленники могут использовать уязвимости в SS7 (Signaling System No. 7), протоколе, который операторы используют для маршрутизации сообщений, что делает возможным их перехват.
Понимание рисков, связанных с отсутствием шифрования SMS
Поскольку SMS не зашифрованы, передача важных сообщений может быть сопряжена с определенным риском. Вот некоторые причины, по которым обмен SMS-сообщениями небезопасен:
1. Хакеры могут перехватывать SMS-сообщения
Для перехвата SMS-сообщений киберпреступники могут использовать такие инструменты, как IMSI catchers (поддельные вышки сотовой связи), технически называемые имитаторами сотовых вышек. Если вы обсуждали финансовые данные, деловые сделки или что-то личное по SMS, есть шанс, что хакер сможет прочитать, о чем вы говорите, как это происходит.
Пример из реальной жизни: Некоторые хакеры взломали криптовалютный счет, перехватив SMS с паролями, что обошлось в миллионы в 2020 году.
2. Атаки с подменой SIM-карт
Подмена SIM-карт - серьезная атака на сегодняшний день. Хакер убеждает оператора мобильной связи перенести номер телефона на новую SIM-карту: получив контроль над номером, он может:
- Прочитайте текстовые сообщения жертвы, одноразовые пароли и коды 2FA.
- Сбросьте пароли для банковских счетов, электронной почты и социальных сетей.
- Выдавайте себя за жертву и обманывайте ее контакты.
Пример из реальной жизни: 11 февраля 2025 года мужчина из Алабамы признался, что взломал X-аккаунт Комиссии по ценным бумагам и биржам США (SEC) в ходе атаки с подменой SIM-карт в январе 2024 года. Это на короткое время привело к взлету биткоина на 1 000 долларов, но после того, как SEC подтвердила, что сообщение было фальшивым, оно рухнуло на 2 000 долларов.
3. SMS-фишинг (Smishing) мошенничество
Этот вид мошенничества включает в себя поддельные SMS-сообщения от поддельных банков, федеральных агентств или широко известных товарных брендов, которые обманывают своих незадачливых жертв, заставляя их раскрыть свою личную идентификационную информацию. Простой способ - SMS-сообщения могли быть приняты за выдачу себя за законные предприятия, поскольку при передаче SMS не существует безопасного или проверяемого пути.
Пример: Вы получаете поддельное текстовое сообщение якобы от вашего банка с просьбой перейти по ссылке, чтобы подтвердить свои учетные данные.
Согласно исследованию, SMS-фишинг (smishing) привел к убыткам на сумму более 330 миллионов долларов, что на 30% больше, чем в предыдущем году. Эксперты по кибербезопасности Norton рекомендуют избегать SMS-верификации для конфиденциальных учетных записей.
Зачем использовать SMS для двухфакторной аутентификации, если она не зашифрована?
Простой ответ - удобство.
- 2FA на основе SMS работает практически на любом телефоне, даже на старых моделях.
- Это очень просто для предприятий.
- Это лучше, чем делать это строго с помощью паролей.
Однако 2FA на основе SMS отнюдь не является самым безопасным, поскольку хакеры могут получить доступ к проверочным кодам с помощью таких методов, как подмена SIM-карты и перехват SMS.
Кроме того, эксперты по безопасности настоятельно рекомендуют отказаться от 2FA на основе SMS-сообщений в пользу:
- Приложения для аутентификации (Google Authenticate, Microsoft Authenticator, Authy).
- Аппаратные ключи безопасности (например, YubiKey)
Эти методы устраняют риски, связанные с уязвимостями шифрования SMS.
- Избегайте передачи конфиденциальной информации по SMS.
- Используйте зашифрованные приложения для обмена сообщениями, например Signal или WhatsApp.
- Включите шифрование RCS в Android Messages.
- Перейдите с 2FA на основе SMS на приложение-аутентификатор.
Как зашифровать SMS-сообщения?
Поскольку обычные SMS не обеспечивают шифрования, лучше всего использовать альтернативные решения для безопасного обмена сообщениями.
1. RCS
RCS - одно из новейших обновлений SMS, которое наделено улучшенными функциями обмена сообщениями и шифрования сообщений. Он оснащен квитанциями о прочтении, индикаторами ввода текста и возможностью обмена сообщениями с медиаконтентом. Сообщения, передаваемые один на один, шифруются, но групповые чаты этой функцией не обладают.
Как включить шифрование RCS на Android?
- Откройте Google Сообщения.
- Перейдите в раздел Настройки > Функции чата.
- Включите функции чата (RCS).
Как включить шифрование RCS на iOS?
Для пользователей Apple бизнес-сообщения RCS теперь доступны, начиная с iOS 18. Однако для этого вам понадобятся:
- План обмена текстовыми сообщениями от оператора, который поддерживает RCS на iPhone.
- Чтобы включить RCS в настройках, перейдите в Настройки > Приложения > Сообщения > RCS Messaging и включите его.
: Короткие приветственные сообщения, цитаты и шаблоны2. Сторонние приложения
Наиболее безопасной альтернативой SMS являются приложения для обмена сообщениями со сквозным шифрованием, такие как:
- Signal - самое безопасное приложение без отслеживания данных.
- WhatsApp использует E2EE, но собирает метаданные.
- Шифрование в Telegram необязательно (только в секретных чатах).
В этих приложениях используются полностью зашифрованные текстовые сообщения, которые не могут тронуть хакеры, слежка и взломы.
Эксперты по безопасности широко рекомендуют Signal благодаря его протоколу шифрования с открытым исходным кодом и строгой политике отсутствия логов. WhatsApp, несмотря на шифрование, собирает метаданные, такие как временные метки сообщений и контактная информация, что может представлять риск для конфиденциальности.
3. Сообщения Android
С помощью Android Messages можно вести шифрованные разговоры один на один, если у обоих пользователей активирована функция RCS.
Как включить шифрование RCS?
- Откройте Google Сообщения.
- Перейдите в раздел Настройки > Функции чата.
- Включите опцию Включить функции чата.
Следует отметить, что группы и SMS, адресованные пользователям, не являющимся пользователями RCS, не шифруются.
4. iMessage
По умолчанию iMessage от Apple поставляется в зашифрованном виде, но только если у отправителя и получателя есть iPhone. В айфонах:
- Синие пузырьки = зашифрованное сообщение (iMessage).
- Зеленые пузырьки = незашифрованное сообщение (SMS).
Заключение
Если вы все еще задаетесь вопросом, какой метод обмена сообщениями лучше всего подходит, то SMS может оказаться на первом месте. Однако проблема с SMS заключается в том, что они не зашифрованы. Хотя этот способ позволяет быстро общаться, он не является идеальной альтернативой для передачи конфиденциальной информации.
Опасность незашифрованных SMS подчеркивает необходимость создания более безопасных альтернатив. Если конфиденциальность и безопасность имеют значение, пользователи должны перейти на приложения для обмена сообщениями с шифрованием, такие как Signal, WhatsApp или iMessage. Пользователи Android также могут перейти на RCS для повышения безопасности, хотя у него есть свои ограничения.
Предприятиям также следует отказаться от использования SMS для аутентификации и выбрать более безопасные альтернативы, такие как приложения-аутентификаторы или ключи безопасности. По мере развития киберугроз важно делать осознанный выбор в отношении безопасности коммуникаций.
Обновлено 19 февраля 2025 г.
Priya Naha is a skilled technical content writer with a specialization in business communication and omnichannel communication platforms. Her expertise lies in translating complex concepts into clear, engaging content that resonates with diverse audiences. Focused on business communication solutions, Priya excels in delivering informative and practical insights through her writing.