Hackeři využili chyby v mobilní sítí O2 Telefónica, vybrali lidem bankovní účty

  • Hackeři využili dlouho známou chybu mobilních sítí k získání SMS
  • Útok proběhl na německé mobilní síti O2 Telefónica
  • Po získání údajů k přihlášení do internetového bankovnictví už dokázali „vyluxovat“ bankovní účty
Hackeři využili chyby v mobilní sítí O2 Telefónica, vybrali lidem bankovní účty

Hackerům se podařilo zneužít chyby v technologii SS7, kterou používají mobilní sítě ke komunikaci a získali přístup k SMS napadených uživatelů. Ve spojení s e-mailovým phishingem tak byli schopni za posledních několik měsíců v rámci německé mobilní sítě O2 Telefónica získat ověřovací SMS pro přihlášení i provedení platby a doslova vysát peníze z bankovních účtů napadených uživatelů. Kvůli přesměrování neměl daný majitel účtu celou dobu o ničem ani ponětí.

Je celkem překvapením, že nebezpečná zneužitelná chyba (je jich víc), která se nachází v komunikační technologii SS7 (Signal System No. 7), kterou mezi sebou ke komunikaci používají telefonní operátoři po celém světě, je už tři roky zveřejněná a stále je neopravená. Důvodem je především to, že celý komunikační systém, na kterém se sítě propojují, vychází z hodně zastaralých technologií (SS7 je z devadesátých let minulého století), které se upgradují jen velmi pozvolna a opravit chyby není jednoduché.

Problém ale je, že už začíná přituhovat. Ve starším článku jsme informovali o tom, že bylo možné pomocí jedné z chyb odposlouchávat a sledovat polohu takřka jakéhokoli telefonu – stačí znát číslo. Jak ale ukázaly čerstvé případy v Německu, chyby lze využít i pro získání peněz z cizího bankovního účtu.

Jak probíhal útok

Hackeři využili k získání peněz z bankovního účtu několik „ověřených“ metod, které fungují i pro jiné případy. Cílem bylo získat dvě věci – přihlašovací údaje k elektronickému bankovnictví a telefonní číslo.

K tomu využili dvě metody – klasický malware nainstalovaný na počítač, který získal přístupové údaje k bankovnictví například skrze snímání stisknutých kláves a také pomocí phishingových e-mailů. Ty lze velmi dobře použít nejen pro získání telefonního čísla napadeného (typicky „Využijte akce xxx zadejte nám telefonní číslo a pošleme Vám xxx“ a tak podobně), tak i jeho přihlašovacích údajů třeba přes podvrženou stránku, která se vydává za skutečnou banku.

Jakmile měli hackeři obě části, mohli využít chyby v SS7, přesměrovat SMS uživatele a přihlásit se k bankovnímu účtu i přes to, že jste měli zapnuté dvoufaktorové ověřování. Na telefon napadeného žádné SMS nechodily, takže celou dobu vůbec nevěděl, že se něco děje. Hackerům přišel ověřovací kód pro přihlášení k internetovému bankovnictví a jakmile byli přihlášení, mohli začít odesílat peníze v dostupných dávkách, obvykle dle denního omezení daného bankovního účtu.

Peníze se poté přesunuly na připravené speciální bankovní účty, ze kterých poté probíhá další přesun, aby bylo možné peníze „vyprat“ a nějakou formou vybrat tak, aby to bylo nedohledatelné. Obvykle tento proces zajišťují jiní „specialisté“ než samotní hackeři, kteří řeší jen samotný útok a odeslání peněz.

Buďte na pozoru

Jak je vidět, dvoufaktorové ověřování rozhodně není všespásné a proto je nutné i s ním dodržovat všechna bezpečnostní pravidla, která minimalizují nebezpečí podobného útoku. Některé banky už podporují ověřování v rámci jejich mobilní aplikace, kterou máte nainstalovanou v mobilním telefonu. A pokud do mobilního telefonu neinstalujete aplikace mimo oficiální obchody (App Store, Google Play) a máte nejnovější verzi operačního systému, měli byste být v relativním bezpečí proti útoku.

Klepněte pro větší obrázek

V případě e-mailů a podvržených stránek je nutné dávat pozor, na co klikáte a zda údaje zadáváte do pravé webové stránky vaší banky – zelený pruh s „https“ v horní řádce by měl být samozřejmostí. Pokud kdokoli, kdo se vydává, že je z banky či podobných institucí a volá vám, nikdy ale opravdu nikdy mu nesdělujte své osobní údaje. Pouze pokud voláte vy do banky či jinam a víte, na jaké číslo voláte a s kým jste ve spojení.

Foto: Florentinmiftari, CC BY-SA 4.0

Témata článku: Google, Bezpečnost, Mobility, Mobilní telefon, App Store, Mobilní aplikace, Hacking, Dvoufázové ověření, Phishing, Německo, Hacker, Signal, SMS, Mobilní telefony do 2000, O2 mobilní telefony, Celý svět, Banka, Nejnovější verze, Operační systém, Chyba, Osobní údaj, Poslední měsíc, Mobilní číslo, Mobilní síť, Německý specialista

62 komentářů

Nejnovější komentáře

  • Vítězslav Novotný 9. 5. 2017 19:03:37
    no bohužel je stále více lidí kteří nepřemýšlí a z emailu otevírají vesele...
  • franta321 9. 5. 2017 16:12:31
    "... A pokud do mobilního telefonu neinstalujete aplikace mimo oficiální...
  • drozenf 9. 5. 2017 13:33:57
    Jestli se nemýlím, tak hackeři nevybrali lidem bankovní účty, ale odcizili...
Určitě si přečtěte

Je to jen bublina, nebo Nokia 3310 opravdu oživila zájem o hloupé telefony?

Je to jen bublina, nebo Nokia 3310 opravdu oživila zájem o hloupé telefony?

** Nokia 3310 zaujala, ale kupodivu se i prodává ** A fenoménu se chytli další ** Je to renesance hloupých levných mobilů?

Včera | Kůžel Filip, Láska Jan | 21