多年来,安全研究人员一直在提醒电信运营商注意其网络中的漏洞以及它们给用户带来的风险……但没有太多结果。然而,事实证明,这些缺陷现在正被黑客利用,特别是通过在线转账清空银行账户。据该报报道南德报据运营商 O2 证实,去年 1 月在德国发生的此类攻击中有多人成为受害者。
相对复杂的攻击分两个阶段进行。首先,受害者被钓鱼邮件欺骗,泄露自己的账号、密码和手机号码。这些信息允许攻击者在线连接到他的银行帐户并查看资金是否充足。如果是这种情况,黑客将通过在线转账清空帐户。
SS7,一个开放的网络
这第二步就不那么简单了。在德国,用户必须输入通过短信接收的代码(称为“mTAN”)来验证转账。但这种保护还不够,因为黑客能够转移该短信,使其落在他们的一部手机上。因此,没有什么可以阻止传输的执行。
但这些黑客如何劫持受害者的短信呢?由于 SS7 中的缺陷,SS7 是电信运营商用来管理呼叫的老化信令协议。 2014年,在31C3会议期间,几位安全研究人员暴露的漏洞并证明他们可以劫持电话和短信,甚至使用“中间人”类型的技术监听对话。
进行这种攻击的唯一条件是能够连接到SS7信令网络。理论上,只有电信运营商才能访问,但实际上,在某些国家,花费数百或数千欧元即可获得访问权限。因此,如果您从第三国连接到 SS7 网络,则可能会干扰世界任何地方的信令请求。这正是德国发生的事情。
法国也可能发生袭击
在法国,成为此类骗局受害者的风险远非零。一般来说,法国银行不会通过短信发送验证码进行转账,但当您通过在线网站添加外部收款人帐户时,他们会发送验证码。然后,他们有时会发送第二条短信来确认向客户添加此帐户。此短信甚至可以附带发送到您帐户邮箱的电子邮件。使用上述技术,黑客可以劫持两条短信并删除邮箱中的确认电子邮件。客户不会怀疑收款人帐户的添加,黑客可以在他不注意的情况下清空他的帐户。
这个故事的积极之处在于,莱茵河沿岸的运营商现在已经实施了更严格的访问控制,以防止此类攻击。希望其他国家的运营商也能关注这个问题。但银行不一定需要等待运营商行动。有效的解决方案已经存在。因此,他们可以将每次连接和在线交易的两步身份验证系统化,但不能使用短信代码。第二个身份验证因素可以由第三方应用程序(例如 Google Authenticator)提供,也可以直接由移动银行应用程序提供。这将避免 SS7 漏洞。
