Nedokonalost protokolu SS7 může vést k napadnutí bankovního účtu

Protokol SS7 využívají telefonní sítě již od roku 1980. Za tu dobu se přišlo na to, že protokol sám o sobě má celou řadu nedostatků. V loňském roce například zástupce German Security Research Labs ukázal, jak lze napadnout hovor a kromě jeho odposlechu lze určit i místo, ze kterého volající volá. Německá část O2 Telefonica však letos rovněž potvrdila, že SS7 lze využít i k napadení bankovních transakcí.

Německá divize O2 potvrdila tento problém tamnímu tisku. Útočníci dokázali přesměrovat potvrzovací SMS zprávy z banky na své číslo. Takový útok byl proveden v polovině ledna letošního roku. Bohužel nebylo uvedeno, v jaké zemi a kolik účtů bylo takto napadeno.

Aby mohl být útok úspěšný, museli nejprve útočníci napadnout webovou aplikaci samotné banky. Zde se jim podařilo získat potřebné informace pro přihlášení do internetového bankovnictví a základní informace o klientovi (např. telefonní číslo). Pro ukradení peněz stačilo pouze napadnout dvoufázové ověření banky – tj. potvrzovací SMS zprávu s kódem potvrzujícím přenos peněz.

Útočníci využili právě tuto nedokonalost SS7 protokolu a s jeho pomocí dokázali přesměrovat potvrzovací SMS zprávy na svůj vlastní telefon. Tato lest může potenciálně útočníkům nabídnout přístup k mnoha bankovním účtům. Tento problém rovněž poukazuje na možné problémy, které jsou spjaty s SMS zprávami jako způsobem dvoufázového ověření.

Ačkoliv se o nedokonalosti SS7 protokolu ví, jeho kompletní nahrazení ještě nějakou dobu potrvá. I z tohoto důvodu nemá běžný uživatel mnoho možností, jak se bránit. Jedním způsobem je nevyužívání SMS zprávy jako způsob dvoufázové autentizace.

Zdroj: thehackernews.com

Domů » Články » Nedokonalost protokolu SS7 může vést k napadnutí bankovního účtu

Jiří Smrž

Fanoušek operačního systému Android, ale se zkušenostmi i s iOS a Windows Phone. Ve volném čase se rád věnuje sportům a sledování filmů nebo seriálů.