O2公司证实了确有此事:网上窃贼使用了盗取的双因子验证(2FA)短信代码。
多年来,专家们一直在敲警钟:提防信令系统7(SS7)协议在安全方面的重大错误,而SS7协议是全球许多蜂窝网络彼此进行通信所使用的那种神奇的“粘合剂”。
这些漏洞有可能被人滥用,比如说将人们的电话呼叫和文本短信重定向至不法分子的设备。现在,我们已经看到了首例骗子利用设计缺陷,将受害者的现金装入到自己腰包的例子。
德国的O2-Telefonica电信公司已向《南德意志报》(Süddeutsche Zeitung)证实,不法分子利用一种分两个阶段的攻击,这个攻击正是钻了SS7的空子,窃取了其一些客户的银行账户资金。
换句话说,窃贼钻了SS7的空子,截获了发送给网上银行客户的双因子验证码,让窃贼得以将账户洗劫一空。据多位消息灵通人士声称,窃取事件发生在过去的几个月。
2014年,研究人员证明了SS7存在根本上的缺陷,详见https://www.theregister.co.uk/2014/12/26/ss7_attacks/。上世纪80年代,多家电信公司开发出了这种协议,让蜂窝网络和一些固话网络可以相互连接、交换数据。如果有人可以进入到电信公司的内部网络(比如黑客或腐败的员工),就可以通过SS7,访问世界上其他任何运营商的后端系统,进而跟踪手机的位置,阅读或重定向文本消息,甚至监听通话内容。
在这个案例中,攻击者钻了一些德国银行使用的采用双因子验证技术的交易验证码系统的空子。网上银行客户需要获得发送到其手机上的验证码,之后才可以在银行账户之间转账。
这伙黑客首先通过垃圾邮件将恶意软件发送到受害者的计算机,然后偷偷收集银行账户存款余额、登录信息、账户密码,另外还有手机号码。然后,他们掏钱购买了一家非法电信提供商的服务,经过一番设置,将受害者的手机号码重定向至实际上由攻击者控制的手机。
接下来,通常在受害者熟睡的三更半夜,攻击者登录进入到他们的网上银行账户,将里面的资金转移出去。交易号码发送后,它们实际上被发送给了犯罪分子,然后他们可以完成交易。
虽然安全专家们一直在警告,提醒大家防范这种攻击,政客们一直日益对此大声疾呼,但是电信公司一直迟迟没有动作,没有认真及时地处理这个问题。一种普遍的看法是,需要电信公司才能完成攻击;现在的问题是,什么样的卑鄙公司会任由自己被人以这种方式所利用。
这年头,几乎谁都可以操办起一家电信公司,或者花钱购买一家电信公司的后端服务。据美国通信行业监管机构联邦通信委员会(FCC)的通信安全、可靠性和互操作性委员会声称,雪上加霜的是,Diameter协议这种提议用于5G网络上的SS7替代方案同样存在着安全漏洞。
但愿这第一例公开证实的攻击会让有关方加大工作力度,尽快解决SS7存在的问题,至少在欧洲是这样(德国电信公司在欧洲处于领导地位)。至于美国,可能在发生一连串的SS7攻击之后,美国电信公司才会幡然醒悟、加快行动起来。
发表评论