В Германии хакеры похитили деньги с банковских счетов пользователей с помощью уязвимости SS7



    Изображение: Michael Coghlan, CC

    Как сообщает издание Süddeutsche Zeitung, злоумышленники организовали атаку на абонентов немецкого сотового оператора O2-Telefonica, в результате которого с банковским счетов ряда пользователей были похищены деньги. В ходе атаки хакерам удалось перехватывать коды для двухфакторной аутентификации с помощью уязвимости сигнального протокола SS7.

    Ранее эксперты Positive Technologies сообщали о серьезных проблемах безопасности в сотовых сетях SS7 и демонстрировали перехват SMS с помощью содержащихся в них уязвимостей.

    Как развивалась атака


    Атака развивалась в январе 2017 года и проводилась в два этапа. На первом злоумышленники инфицировали компьютер жертвы банковским трояном, который похищал логин и пароль к банковской учетной записи, а также просматривал баланс счета и мобильный номер телефона пользователя. Злоумышленники заранее приобрели доступ к сетям SS7 на черном рынке, что позволило им представляться роуминговым партнёром немецкого оператора и совершать регистрацию абонентов в фальшивой сети. Для оператора мобильной связи это выглядело, как если бы абоненты просто уехали заграницу и получили доступ к роуминг-партнёру. После такой регистрации все входящие SMS-сообщения в открытом виде направляются в фальшивую сеть, то есть к злоумышленникам.

    На следующем этапе — часто в ночное время, для снижения вероятности обнаружения своих действий — мошенники авторизовались в банковской учетной записи пользователя, совершали операции перевода денежных средств, используя в качестве подтверждения коды из перехваченных SMS.

    Представитель O2 Telefonica подтвердил журналистам факт проведения успешной атаки и сообщил, что она была организована из «сети иностранного мобильного оператора».

    Безопасность SS7: все плохо


    Система SS7 (ОКС-7) была разработана сорок лет назад и имеет ряд недостатков защищенности — например, в ней отсутствуют шифрование и проверка подлинности служебных сообщений. В результате злоумышленники, получившие доступ к SS7-шлюзу (это не так трудно сделать), могут эксплуатировать эти недостатки безопасности.

    Атаки через SS7 могут выполняться из любого места на планете, что делает этот метод одним из самых перспективных для нарушителя. Злоумышленнику не надо физически находиться рядом с абонентом, как в случае с поддельной базовой станцией, поэтому вычислить его практически невозможно. Высокая квалификация также не требуется: в сети доступно множество готовых приложений для работы с SS7. При этом операторы не могут блокировать команды от отдельных узлов, поскольку это оказывает негативное влияние на весь сервис и нарушает принципы функционирования роуминга.

    Проведенное экспертами Positive Technologies исследование защищенности сетей SS7 ведущих мобильных операторов регионов EMEA и APAC показало, что проблема с безопасностью абонентов стоит очень остро.

    Так, в отношении участвовавших в исследовании операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%). Входящие SMS-сообщения можно было перехватить в сетях всех участников исследования, цели достигали девять из десяти атак (89%).

    Подобные эксперименты показывают, что использование SMS для передачи одноразовых кодов аутентификации при наличии незакрытых серьезных уязвимостей SS7 ставит под угрозу пользователей, получающих такие коды. Во многом поэтому Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации.
    Positive Technologies
    251,00
    Компания
    Поделиться публикацией

    Комментарии 17

      +2
      Возможно ли, что оператора, продавшего или сдавшего в аренду доступ в сеть, однажды забанят? Примерно как было с сертификатами WoSign.

      Вообще есть хоть какая-то возможность административных костылей, пока не сделают изменения в самой сети?
        +1

        Проще самим пользователям отказаться от использования SMS в критичных областях типа банкинга, наверное.


        Возможно, для операторов такой бан выйдет дороже — это же честные клиенты лишатся роуминга в этой стране, да и слишком многих может придётся забанить.

        • НЛО прилетело и опубликовало эту надпись здесь
          0
          хакерам удалось перехватывать коды для двухфакторной аутентификации
          То есть, хакеры пробрутили, протроянили, либо другим путем получили пароли «ряда пользователей», и для самой атаки только понадобилось перехватывать СМС-ки?
          Может надо изначально логин защитить лучше? То есть, первофакторную аутентификацию.
          Получается, что с безопасностью вообще всё плохо на всех уровнях.
            +1

            Двухфакторная аутентификация для того и была придумана, чтобы защитить аккаунт при компрометации логина и пароля. Вместо смсок это может быть лист с одноразовыми паролями, выданный банкоматом. И сейчас всё идет в сторону многофакторной аутентификации, потому что это еще безопаснее.

              0
              А есть хоть один банк с MFA через приложение (Google Authenticator или своё), а не через SMS или одноразовые пароли на бумажке?
                0

                Так это же костыль от бессилия сделать нормальную аутентификацию, причем используя средства совсем для этого не предназначенные. И об этом уже писали.

              +2

              Всё надо шифровать. И смски тоже.

                –1
                Уже. Только как-то по странному назвали нью-СМС — Viber…
                  –1
                  надо менять людей, чтобы они не воровали. шифрование — это костыль
                    0

                    Шифровать наверное будет проще чем изменить людей.

                      0
                      РПЦ как раз этим и занимается, надо только подождать…
                    0
                    Ннда.
                    Прошло всего полгода с тех пор как писали про эту уязвимость в ОКС7.
                    И вот ее уже начали юзать.
                      +1
                      Клиентом банка, который организовал двухфакторку по СМС, я бы ни за что на свете не стал. В Швеции все решили проще — каждому клиенту выдается генератор одноразовых паролей, который работает при ставленной карте (специальной или обычной банковской) и предоставлении пин-кода от карты.

                      Кроме того есть служба BankID, у которой тоже есть изъяны, но она не так дырява как СМС.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Не анализировал, но я думаю найти материал на эту тему можно. Поищу и если найду напишу в комментарии тут.

                          Но по идее реверсить и не надо, достаточно копии чипа на карточке :)
                          • НЛО прилетело и опубликовало эту надпись здесь

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое