Hackerům se podařilo zneužít chyby v technologii SS7, kterou používají mobilní sítě ke komunikaci a získali přístup k SMS napadených uživatelů. Ve spojení s e-mailovým phishingem tak byli schopni za posledních několik měsíců v rámci německé mobilní sítě O2 Telefónica získat ověřovací SMS pro přihlášení i provedení platby a doslova vysát peníze z bankovních účtů napadených uživatelů. Kvůli přesměrování neměl daný majitel účtu celou dobu o ničem ani ponětí.
Stačí telefonní číslo a hacker vás bude odposlouchávat lépe než NSA
Je celkem překvapením, že nebezpečná zneužitelná chyba (je jich víc), která se nachází v komunikační technologii SS7 (Signal System No. 7), kterou mezi sebou ke komunikaci používají telefonní operátoři po celém světě, je už tři roky zveřejněná a stále je neopravená. Důvodem je především to, že celý komunikační systém, na kterém se sítě propojují, vychází z hodně zastaralých technologií (SS7 je z devadesátých let minulého století), které se upgradují jen velmi pozvolna a opravit chyby není jednoduché.
Problém ale je, že už začíná přituhovat. Ve starším článku jsme informovali o tom, že bylo možné pomocí jedné z chyb odposlouchávat a sledovat polohu takřka jakéhokoli telefonu – stačí znát číslo. Jak ale ukázaly čerstvé případy v Německu, chyby lze využít i pro získání peněz z cizího bankovního účtu.
Jak probíhal útok
Hackeři využili k získání peněz z bankovního účtu několik „ověřených“ metod, které fungují i pro jiné případy. Cílem bylo získat dvě věci – přihlašovací údaje k elektronickému bankovnictví a telefonní číslo.
K tomu využili dvě metody – klasický malware nainstalovaný na počítač, který získal přístupové údaje k bankovnictví například skrze snímání stisknutých kláves a také pomocí phishingových e-mailů. Ty lze velmi dobře použít nejen pro získání telefonního čísla napadeného (typicky „Využijte akce xxx zadejte nám telefonní číslo a pošleme Vám xxx“ a tak podobně), tak i jeho přihlašovacích údajů třeba přes podvrženou stránku, která se vydává za skutečnou banku.
Jakmile měli hackeři obě části, mohli využít chyby v SS7, přesměrovat SMS uživatele a přihlásit se k bankovnímu účtu i přes to, že jste měli zapnuté dvoufaktorové ověřování. Na telefon napadeného žádné SMS nechodily, takže celou dobu vůbec nevěděl, že se něco děje. Hackerům přišel ověřovací kód pro přihlášení k internetovému bankovnictví a jakmile byli přihlášení, mohli začít odesílat peníze v dostupných dávkách, obvykle dle denního omezení daného bankovního účtu.
Peníze se poté přesunuly na připravené speciální bankovní účty, ze kterých poté probíhá další přesun, aby bylo možné peníze „vyprat“ a nějakou formou vybrat tak, aby to bylo nedohledatelné. Obvykle tento proces zajišťují jiní „specialisté“ než samotní hackeři, kteří řeší jen samotný útok a odeslání peněz.
Buďte na pozoru
Jak je vidět, dvoufaktorové ověřování rozhodně není všespásné a proto je nutné i s ním dodržovat všechna bezpečnostní pravidla, která minimalizují nebezpečí podobného útoku. Některé banky už podporují ověřování v rámci jejich mobilní aplikace, kterou máte nainstalovanou v mobilním telefonu. A pokud do mobilního telefonu neinstalujete aplikace mimo oficiální obchody (App Store, Google Play) a máte nejnovější verzi operačního systému, měli byste být v relativním bezpečí proti útoku.
V případě e-mailů a podvržených stránek je nutné dávat pozor, na co klikáte a zda údaje zadáváte do pravé webové stránky vaší banky – zelený pruh s „https“ v horní řádce by měl být samozřejmostí. Pokud kdokoli, kdo se vydává, že je z banky či podobných institucí a volá vám, nikdy ale opravdu nikdy mu nesdělujte své osobní údaje. Pouze pokud voláte vy do banky či jinam a víte, na jaké číslo voláte a s kým jste ve spojení.
Foto: Florentinmiftari, CC BY-SA 4.0
