Protokol SS7 využívají telefonní sítě již od roku 1980. Za tu dobu se přišlo na to, že protokol sám o sobě má celou řadu nedostatků. V loňském roce například zástupce German Security Research Labs ukázal, jak lze napadnout hovor a kromě jeho odposlechu lze určit i místo, ze kterého volající volá. Německá část O2 Telefonica však letos rovněž potvrdila, že SS7 lze využít i k napadení bankovních transakcí.
Německá divize O2 potvrdila tento problém tamnímu tisku. Útočníci dokázali přesměrovat potvrzovací SMS zprávy z banky na své číslo. Takový útok byl proveden v polovině ledna letošního roku. Bohužel nebylo uvedeno, v jaké zemi a kolik účtů bylo takto napadeno.
Aby mohl být útok úspěšný, museli nejprve útočníci napadnout webovou aplikaci samotné banky. Zde se jim podařilo získat potřebné informace pro přihlášení do internetového bankovnictví a základní informace o klientovi (např. telefonní číslo). Pro ukradení peněz stačilo pouze napadnout dvoufázové ověření banky – tj. potvrzovací SMS zprávu s kódem potvrzujícím přenos peněz.
Útočníci využili právě tuto nedokonalost SS7 protokolu a s jeho pomocí dokázali přesměrovat potvrzovací SMS zprávy na svůj vlastní telefon. Tato lest může potenciálně útočníkům nabídnout přístup k mnoha bankovním účtům. Tento problém rovněž poukazuje na možné problémy, které jsou spjaty s SMS zprávami jako způsobem dvoufázového ověření.
Ačkoliv se o nedokonalosti SS7 protokolu ví, jeho kompletní nahrazení ještě nějakou dobu potrvá. I z tohoto důvodu nemá běžný uživatel mnoho možností, jak se bránit. Jedním způsobem je nevyužívání SMS zprávy jako způsob dvoufázové autentizace.
Zdroj: thehackernews.com