Ten przypadek ataku na rachunki internetowe u zachodnich sąsiadów dobitnie pokazuje, że kody wysyłane za pomocą SMS-ów nie są już bezpieczne i nie tylko banki powinny zainwestować w nowy sposób autoryzacji transakcji
O przełamaniu zabezpieczeń bankowości internetowej w Niemczech napisał dziennik Süddeutsche Zeitung. Jak twierdzą dziennikarze, hakerzy wykradli z prywatnych kont znaczne środki, posługując się przechwyconymi kodami autoryzacyjnymi wysłanymi do klientów przez banki w wiadomościach SMS.
To nie był zwykły atak phishingowy polegający na wyłudzeniu loginów i haseł do kont bankowych. Owszem, od tego hakerzy rozpoczęli swoje działanie. Jednak, jak wiecie, nawet poznanie danych pozwalających zalogować się na konto, nie wystarczy dla powodzenia ataku, bo właściciel rachunku otrzymuje na uzgodniony z bankiem numer telefonu kod z hasłem autoryzacyjnym do wykonania przelewu. W tym przypadku przestępcom udało się uzyskać także te informacje. Po prostu włamali się do systemu jednego z operatorów telekomunikacyjnych, dzięki czemu mogli odczytywać przesyłane wiadomości SMS.
Süddeutsche Zeitung podaje, że wszystkiemu winien jest System Sygnalizacji nr 7 (SS7), który służy telekomom do wymiany informacji między innymi na temat firm telefonii komórkowej na całym świecie i sprawdza, gdzie w danej chwili znajduje się telefon z kartą SIM oraz czy jest ona ważna. Dzięki temu możliwe jest wykonywanie połączeń i wysyłanie wiadomości, nawet gdy przemieszczacie się szybko samochodem lub przebywacie za granicą. System Was zawsze odnajdzie.
Niestety okazało się, że ma on poważne luki i pozwala odczytywać także wrażliwe dane. Dziennikarze niemieckiej gazety podają, że nielegalny dostęp do informacji w sieci komórkowej można uzyskać już za tysiąc euro. Dzięki takim danym przestępcy przekierowują połączenia i przechwytują kody bankowe. A to pozwala im wykradać pieniądze z kont bankowych.
Banki powoli zdają sobie sprawę z tego, że SMS-y nie należą już do najbezpieczniejszych kanałów dystrybucji kodów służących do autoryzacji transakcji. Niedawno mobilną autoryzacją w aplikacji zastąpił je mBank. Pod koniec kwietnia podobny sposób potwierdzania przelewów po podaniu PIN w apce, wprowadził TMUB. Pewnie można się spodziewać, że za chwilę zrobi to także Alior, a potem kolejne instytucje finansowe. Ale przyszłością w tym zakresie jest moim zdaniem biometria.
Natomiast z kodów SMS korzystają do uwierzytelniania nie tylko banki. Zostały one zaimplementowane na przykład w rządowym projekcie mDokumenty. Pisałem o tym, że to się na twórcach tego rozwiązania zemści, bo jest anachroniczne i nie dość, że niezbyt wygodne, to jeszcze nie do końca bezpieczne. Wydarzenia w Niemczech zdają się to potwierdzać.