多年來,安全研究人員一直在提醒電信業者註意其網路中的漏洞以及它們給用戶帶來的風險……但沒有太多結果。然而,事實證明,這些缺陷現在正被駭客利用,特別是透過線上轉帳清空銀行帳戶。據該報報道南德報據營運商 O2 證實,去年 1 月在德國發生的此類攻擊中有多人成為受害者。
相對複雜的攻擊分兩個階段進行。首先,受害者被釣魚郵件欺騙,洩漏自己的帳號、密碼和手機號碼。這些資訊允許攻擊者在線上連接到他的銀行帳戶並查看資金是否足夠。如果是這種情況,駭客將透過線上轉帳清空帳戶。
SS7,一個開放的網絡
這第二步就不那麼簡單了。在德國,使用者必須輸入透過簡訊接收的代碼(稱為「mTAN」)來驗證轉帳。但這種保護還不夠,因為駭客能夠轉移該短信,使其落在他們的一部手機上。因此,沒有什麼可以阻止傳輸的執行。
但這些駭客如何劫持受害者的簡訊呢?由於 SS7 的缺陷,SS7 是電信營運商用來管理呼叫的老化訊號協定。 2014年,在31C3會議期間,幾位安全研究人員暴露的漏洞並證明他們可以劫持電話和短信,甚至使用“中間人”類型的技術監聽對話。
進行這種攻擊的唯一條件是能夠連接到SS7信令網路。理論上,只有電信業者才能訪問,但實際上,在某些國家,花費數百或數千歐元即可獲得訪問權限。因此,如果您從第三國連接到 SS7 網絡,則可能會幹擾世界任何地方的訊號請求。這正是德國發生的事。
法國也可能發生攻擊
在法國,成為此類騙局受害者的風險遠非零。一般來說,法國銀行不會透過簡訊發送驗證碼進行轉賬,但當您透過線上網站新增外部收款人帳戶時,他們會發送驗證碼。然後,他們有時會發送第二條簡訊來確認向客戶添加此帳戶。此簡訊甚至可以附帶發送到您帳戶郵箱的電子郵件。使用上述技術,駭客可以劫持兩條簡訊並刪除郵箱中的確認電子郵件。客戶不會懷疑收款人帳戶的添加,駭客可以在他不注意的情況下清空他的帳戶。
這個故事的積極之處在於,萊茵河沿岸的運營商現在已經實施了更嚴格的訪問控制,以防止此類攻擊。希望其他國家的業者也能關注這個問題。但銀行不一定需要等待業者行動。有效的解決方案已經存在。因此,他們可以將每次連接和線上交易的兩步驟身份驗證系統化,但不能使用簡訊代碼。第二個驗證因素可以由第三方應用程式(例如 Google Authenticator)提供,也可以直接由行動銀行應用程式提供。這將避免 SS7 漏洞。
