В Германии хакеры похитили деньги с банковских счетов пользователей с помощью уязвимости SS7

[CAJAX]

Возможно ли, что оператора, продавшего или сдавшего в аренду доступ в сеть, однажды забанят? Примерно как было с сертификатами WoSign.

Вообще есть хоть какая-то возможность административных костылей, пока не сделают изменения в самой сети?

[Goodkat]

Проще самим пользователям отказаться от использования SMS в критичных областях типа банкинга, наверное.

Возможно, для операторов такой бан выйдет дороже — это же честные клиенты лишатся роуминга в этой стране, да и слишком многих может придётся забанить.

[Revertis]

хакерам удалось перехватывать коды для двухфакторной аутентификации

То есть, хакеры пробрутили, протроянили, либо другим путем получили пароли «ряда пользователей», и для самой атаки только понадобилось перехватывать СМС-ки?
Может надо изначально логин защитить лучше? То есть, первофакторную аутентификацию.
Получается, что с безопасностью вообще всё плохо на всех уровнях.

[Myosotis]

Двухфакторная аутентификация для того и была придумана, чтобы защитить аккаунт при компрометации логина и пароля. Вместо смсок это может быть лист с одноразовыми паролями, выданный банкоматом. И сейчас всё идет в сторону многофакторной аутентификации, потому что это еще безопаснее.

[navion]

А есть хоть один банк с MFA через приложение (Google Authenticator или своё), а не через SMS или одноразовые пароли на бумажке?

[lorc]

Как минимум в Украине таких несколько. Но вообще банки, особенно старые — жутко неповоротливые конторы, которые сильно отстают технически от остальной it-индустрии.

[madkite]

Так это же костыль от бессилия сделать нормальную аутентификацию, причем используя средства совсем для этого не предназначенные. И об этом уже писали.

[ivan386]

Всё надо шифровать. И смски тоже.

[Alexeyslav]

Уже. Только как-то по странному назвали нью-СМС — Viber…

[SaturnTeam]

надо менять людей, чтобы они не воровали. шифрование — это костыль

[ivan386]

Шифровать наверное будет проще чем изменить людей.

[r85qPZ1d3y]

РПЦ как раз этим и занимается, надо только подождать…

[bluetooth]

Клиентом банка, который организовал двухфакторку по СМС, я бы ни за что на свете не стал. В Швеции все решили проще — каждому клиенту выдается генератор одноразовых паролей, который работает при ставленной карте (специальной или обычной банковской) и предоставлении пин-кода от карты.

Кроме того есть служба BankID, у которой тоже есть изъяны, но она не так дырява как СМС.

[bluetooth]

Не анализировал, но я думаю найти материал на эту тему можно. Поищу и если найду напишу в комментарии тут.

Но по идее реверсить и не надо, достаточно копии чипа на карточке :)