Átirányíthatók a banki SMS-ek

Egy komoly biztonsági résre hívták fel figyelmünket a G Data szakemberei: egy rég, még az internetes világ előtt kifejlesztett telefonos technológia sajátosságai miatt például a banki azonosítókat tartalmazó SMS-ek átirányíthatóak más telefonszámokra, és így a támadók hozzáférhetnek a kiszemeltek bankszámlájához. A hiba régebbi, de 2017 tavaszán használták először sikeres támadáshoz. Ehhez még ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát és hozzá kellett férniük a hibás SS7 protokollhoz. A banki adatokat, mobilszámot adathalász támadással szerezték meg. Az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől.

A sérülékenység segítségével a banki azonosító kódokat tartalmazó SMS-üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról.

A G Data szakemberei arra hívják fel a figyelmet, hogy az SMS-üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek vagy a Google Authenticatorhoz hasonló mobil alkalmazások bevezetését javasolják.