O2 подтверждает факты краж в Интернете с использованием украденных SMS-кодов 2FA.
Эксперты уже много лет предупреждают об ошибках в системе безопасности протокола Signaling System 7 — волшебного связующего звена, используемого сетями сотовой связи для связи друг с другом.
Эти недостатки потенциально могут быть использованы, например, для перенаправления звонков и текстовых сообщений людей на устройства злоумышленников. Теперь мы увидели первый случай, когда мошенники использовали недостатки дизайна, чтобы набить свои карманы деньгами жертв.
Немецкая компания O2-Telefonica подтвердила изданию Süddeutsche Zeitung, что банковские счета некоторых ее клиентов были опустошены с помощью двухэтапной атаки, использующей SS7.
Другими словами, воры использовали SS7 для перехвата двухфакторных кодов аутентификации, отправленных клиентам онлайн-банкинга, что позволило им опустошить свои счета. Кражи происходили в течение последних нескольких месяцев, согласно многочисленным источникам.
В 2014 году исследователи продемонстрировали, что SS7, созданный в 1980-х годах телекоммуникационными компаниями для обеспечения связи и обмена данными между сотовыми и некоторыми стационарными сетями, имеет фундаментальный изъян. Кто-то с внутренним доступом к телекоммуникационной компании — например, хакер или коррумпированный сотрудник — может получить доступ к бэкэнду любого другого оператора в мире через SS7, чтобы отслеживать местоположение телефона, читать или перенаправлять сообщения и даже прослушивать звонки.
В этом случае злоумышленники использовали двухфакторную систему аутентификации номеров аутентификации транзакций, используемую немецкими банками. Клиентам онлайн-банкинга необходимо получить код, отправленный на их телефон, прежде чем средства будут переведены между счетами.
Сначала хакеры рассылали вредоносное ПО на компьютеры жертв, которое собирало данные о балансе банковского счета, данные для входа и пароли для учетных записей, а также номер мобильного телефона. Затем они приобрели доступ к мошенническому провайдеру телекоммуникаций и настроили переадресацию с номера мобильного телефона жертвы на телефон, контролируемый злоумышленниками.
Затем, обычно посреди ночи, когда жертва спала, злоумышленники входили в свои онлайн-банковские счета и переводили деньги. Когда номера транзакций отправлялись, они направлялись преступникам, которые затем завершали транзакцию.
В то время как эксперты по безопасности предупреждали о подобной атаке, а политики все больше шумели об этом, телекоммуникационные компании были холодны в попытках справиться с этой проблемой. Преобладающее мнение состояло в том, что для осуществления атаки вам понадобится телекоммуникационная компания, и какая подлая фирма позволит использовать себя таким образом.
Это могло работать в 1980-х, но в наши дни почти каждый может стать телекоммуникационной компанией или купить доступ к бэкенду таковой. Что еще хуже, предлагаемая замена SS7 в сетях 5G, названная протоколом Diameter, также имеет дыры в безопасности, согласно Совету по безопасности, надежности и совместимости коммуникаций при контролирующем органе США по коммуникациям FCC.
Эта первая публично подтвержденная атака, как мы надеемся, подстегнет усилия по устранению проблем с SS7, по крайней мере в Европе, где Германия занимает лидирующую позицию. Что касается США, то, возможно, потребуется серия атак на SS7, прежде чем телекоммуникационные компании включат свои задницы. ®
PS: В отчете Министерства внутренней безопасности США, опубликованном в этом месяце, признается, что SS7 «может использоваться преступниками, террористами, а также государственными деятелями/иностранными разведывательными организациями» для перехвата сообщений и звонков.
По сути, пришло время прекратить использовать SMS для двухфакторной аутентификации для конфиденциальных данных.
Источник
Эксперты уже много лет предупреждают об ошибках в системе безопасности протокола Signaling System 7 — волшебного связующего звена, используемого сетями сотовой связи для связи друг с другом.
Эти недостатки потенциально могут быть использованы, например, для перенаправления звонков и текстовых сообщений людей на устройства злоумышленников. Теперь мы увидели первый случай, когда мошенники использовали недостатки дизайна, чтобы набить свои карманы деньгами жертв.
Немецкая компания O2-Telefonica подтвердила изданию Süddeutsche Zeitung, что банковские счета некоторых ее клиентов были опустошены с помощью двухэтапной атаки, использующей SS7.
Другими словами, воры использовали SS7 для перехвата двухфакторных кодов аутентификации, отправленных клиентам онлайн-банкинга, что позволило им опустошить свои счета. Кражи происходили в течение последних нескольких месяцев, согласно многочисленным источникам.
В 2014 году исследователи продемонстрировали, что SS7, созданный в 1980-х годах телекоммуникационными компаниями для обеспечения связи и обмена данными между сотовыми и некоторыми стационарными сетями, имеет фундаментальный изъян. Кто-то с внутренним доступом к телекоммуникационной компании — например, хакер или коррумпированный сотрудник — может получить доступ к бэкэнду любого другого оператора в мире через SS7, чтобы отслеживать местоположение телефона, читать или перенаправлять сообщения и даже прослушивать звонки.
В этом случае злоумышленники использовали двухфакторную систему аутентификации номеров аутентификации транзакций, используемую немецкими банками. Клиентам онлайн-банкинга необходимо получить код, отправленный на их телефон, прежде чем средства будут переведены между счетами.
Сначала хакеры рассылали вредоносное ПО на компьютеры жертв, которое собирало данные о балансе банковского счета, данные для входа и пароли для учетных записей, а также номер мобильного телефона. Затем они приобрели доступ к мошенническому провайдеру телекоммуникаций и настроили переадресацию с номера мобильного телефона жертвы на телефон, контролируемый злоумышленниками.
Затем, обычно посреди ночи, когда жертва спала, злоумышленники входили в свои онлайн-банковские счета и переводили деньги. Когда номера транзакций отправлялись, они направлялись преступникам, которые затем завершали транзакцию.
В то время как эксперты по безопасности предупреждали о подобной атаке, а политики все больше шумели об этом, телекоммуникационные компании были холодны в попытках справиться с этой проблемой. Преобладающее мнение состояло в том, что для осуществления атаки вам понадобится телекоммуникационная компания, и какая подлая фирма позволит использовать себя таким образом.
Это могло работать в 1980-х, но в наши дни почти каждый может стать телекоммуникационной компанией или купить доступ к бэкенду таковой. Что еще хуже, предлагаемая замена SS7 в сетях 5G, названная протоколом Diameter, также имеет дыры в безопасности, согласно Совету по безопасности, надежности и совместимости коммуникаций при контролирующем органе США по коммуникациям FCC.
Эта первая публично подтвержденная атака, как мы надеемся, подстегнет усилия по устранению проблем с SS7, по крайней мере в Европе, где Германия занимает лидирующую позицию. Что касается США, то, возможно, потребуется серия атак на SS7, прежде чем телекоммуникационные компании включат свои задницы. ®
PS: В отчете Министерства внутренней безопасности США, опубликованном в этом месяце, признается, что SS7 «может использоваться преступниками, террористами, а также государственными деятелями/иностранными разведывательными организациями» для перехвата сообщений и звонков.
По сути, пришло время прекратить использовать SMS для двухфакторной аутентификации для конфиденциальных данных.
Источник
