A cég szerint létezik egy 2014-ben felfedezett biztonsági rés, amelynek segítségével a banki azonosítókódokat tartalmazó sms-eket át lehet irányítani egy másik mobiltelefonszámra.
A német Süddeutsche Zeitung már cikkezett is egy ilyen esetről, amikor német ügyfelek pénzét emelték le a bankszámlákról.
Hogy a lopás sikeres legyen, a támadóknak ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát és hozzá kellett férniük az úgynevezett SS7 protokollhoz.
Mi az az SS7?
Az SS7, vagyis Signaling System #7 egy telefonos protokollt takar, melyet 1975-ben fejlesztettek ki, és amit azóta világszerte több mint 800 vezetékes és mobil távközlési szolgáltató használ. A protokoll szabályozza a hívás továbbítást, a számlázást, a szöveges üzenetek küldését. Segítségével állapítják meg, hogy egy sim-kártya még mindig használatban van vagy sem. Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal.A csalók a banki adatokat, mobilszámot adathalász támadással szerezték meg. Az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől.
A kihasználható sérülékenységet 2014-ben két német kutató publikálta, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodásának megállapítására. Az egyik kutató 2016-ban bebizonyította, hogy egy jól felszerelt támadó belehallgathat a telefonbeszélgetésekbe, és meghatározhatja a felhasználó földrajzi helyzetét. Az akkori következtetések szerint egy átlagos embernek nincs miért tartania a támadástól. Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az sms-alapú, kétfaktoros azonosítást ki kellene vezetni.
Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja - írja a G Data. A cég szakemberei szerint az sms-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticator-hoz hasonló mobil alkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.
A kép forrása: G Data