Že ověřování odchozich plateb pomocí sms již nepatří do tohoto století jsem tušil, ale kdy se toho někdo chytí jsem netušil. Na mobil ani na pc se člověk spolehnout také nemůže.
Přijde znovu doba, kdy budeme chodit autorizovat platby přímo do banky?
V sousedním Německu byly zneužity již delší dobu známé chyby v rodině protokolů SS7 k úspěšnému útoku na bankovní účty. SS7 se používá v telefonních sítích pro síťovou signalizaci. Jednotlivé protokoly jsou používány například pro spojování a ukončení telefonních hovorů, směrování volání a zpráv na mobilní telefony, přenos SMS mezi ústřednami a SMS centrem a pro řadu dalších úkolů. Není proto divu, že bezpečnostní experti již několik let upozorňují na zranitelnosti SS7, které mohou vést k odposlechu soukromých hovorů nebo čtení cizích SMS.
Že to není jen nějaké akademické teoretizování nyní předvedla skupina neznámých útočníků v sousedním Německu. Společnost O2 Telefonica Germany potvrdila, že někteří z jejích zákazníků byli okradeni s využitím dvoufázového útoku, který zneužil právě zranitelnosti v SS7. První fáze útoku byla standardní, tedy rozeslání e-mailů s přiloženým malwarem, který útočníkům zajistil přihlašovací údaje, informace o zůstatku a číslo mobilu. V další fázi pak zaplatili za přístup do sítě jiného operátora a přesměrovali telefon do své sítě. Následně jim již nic nebránilo přihlásit se do bankovnictví oběti dříve získanými přihlašovacími údaji, poslat peníze a odchytit ověřovací SMS, která jim umožnila dokončit převod peněz na jiný účet. Podle odborníků probíhala poslední fáze nejspíše v noci, jinak by si totiž oběti mohly všimnout, že jejich mobilní telefon je přihlášen do cizí sítě.
www.root.cz
