Klienci niemieckich banków okradzeni przez przekierowanie wiadomości SMS

dodał 3 maja 2017 o 22:12 w kategorii Mobilne  z tagami:
Klienci niemieckich banków okradzeni przez przekierowanie wiadomości SMS

Niemiecka prasa opisuje ciekawe przypadki kradzieży środków z kont klientów banków poprzez przekierowanie wiadomości SMS na poziomie protokołów sieci komórkowych. Podobno Niemcy nie są jedynym zaatakowanym krajem.

Zagrożenia związane z protokołem SS7 i możliwością zdalnego, niezauważalnego dla klienta przekierowania jego połączeń i wiadomości SMS są publicznie znane od co najmniej kilku lat, jednak opisywany incydent to pierwszy znany nam przypadek użycia tego rodzaju ataku w kradzieży pieniędzy z rachunków bankowych.

Jak to działa

SS7 to zbiór protokołów definiujących transmisję w sieciach telefonicznych. Powstały w latach osiemdziesiątych ubiegłego wieku nie był tworzony z myślą o bezpieczeństwie. Specjaliści go analizujący co jakiś czas odkrywają ciekawe polecenia, których odpowiednie zastosowanie może istotnie naruszać prywatność użytkowników sieci. Opisywaliśmy już jak SS7 używany może być ( i czasem jest) do:

Aby móc skutecznie przeprowadzać ataki za pomocą protokołów SS7 trzeba:

  • znać protokół,
  • mieć dostęp do sieci jednego z operatorów,
  • znaleźć operatora, który nie filtruje prawidłowo komunikatów z sieci innych operatorów.

Najwyraźniej przestępcom udało się spełnić wszystkie te warunki. Sam protokół nie jest zbyt popularny, jednak bez wątpienia można znaleźć osoby mające o nim całkiem niezłe pojęcie. Rzekomo dostęp do sieci operatorskiej można kupić już za ok. tysiąc euro, co wydaje się dobrą inwestycją. Pozostaje już tylko znalezienie ofiar w sieci operatora docelowego, który albo zapomniał ustawić filtrowanie komunikatów, albo przez pomyłkę je „na chwilę” wyłączył. Wszystko wskazuje na to, ze takie zdarzenie miało miejsce w styczniu w Niemczech.

Informacja o lokalizacji w pakiecie (źródło: P1 Security)

Co się stało

Jak podaje gazeta Süddeutsche Zeitung, w ostatnich miesiącach klienci banków padli ofiarami kradzieży środków, w trakcie których przestępcy przejmowali wiadomości SMS z kodami jednorazowymi właśnie za pomocą manipulacji na warstwie protokołu SS7. Według gazety jeden z niemieckich operatorów sieci komórkowych, O2 – Telefonica, potwierdził, że w połowie stycznia miał miejsce atak, w którym przychodzące wiadomości wybranych klientów firmy były przekierowane na inne numery.

Aby taki atak na klientów banków mógł się udać, spełnione musiało być kilka warunków:

  • klienci musieli zainfekować swoje komputery złośliwym oprogramowaniem,
  • przestępcy musieli wykraść loginy i hasła do kont bankowych,
  • przestępcy musieli wykraść numery telefonów skojarzone z kontami bankowymi,
  • telefony musiały być zarejestrowane w sieci podatnej na atak,
  • klienci musieli korzystać z kodów jednorazowych przesyłanych za pomocą wiadomości SMS.

Czy to bardzo skomplikowane? Tak, ale pamiętajcie, że w analogiczny sposób, także spełniając podobny zestaw warunków, okradziono kiedyś wielu klientów polskich banków i sieci Play. Jak zatem widać dla złodzieja nie ma zbyt trudnego zadania.

Jak bronić się przed takim atakiem? Najprościej nie instalować konia trojańskiego na swoim komputerze. Drugim wartym zastanowienia elementem jest skorzystanie z usług banku, oferującego uwierzytelnienie transakcji w sposób inny niż kody SMS.