Myslíte si, že autentizační SMS chrání Váš bankovní účet? Po přečtení tohoto článku změníte názor.

Asi bude mezi vámi, milí čtenáři, opravdu málo těch, kteří nepoužíváte internetové bankovnictví. Je to služba, kterou dnes nabízejí snad všechny banky a z vlastní zkušenosti musím říci, že díky ní prakticky nemusím do banky. Jak už to tak ale bývá, každá věc má minci o dvou stranách. Služby internetového bankovnictví nám přináší mnoho výhod, ale také jistá rizika. Je totiž terčem hackerů po celé světě, kteří se snaží hrát na důvěřivou notu klientů a získat od nich všemi možnými způsoby přístup k jejich účtu.

Dnes se podíváme na tu část, která představuje sekundární možnost zabezpečení. Tím jsou ověřovací SMS, neboli OTP zprávy (One-time password).. Prakticky všechny banky dnes už nabízejí (některé povinně) pro přístup do internetového bankovnictví dvoufázové ověření. Po přihlášení heslem nám ještě na telefonní číslo, které máme spojené s bankovnictvím, přijde autentizační SMS. Teprve po zadání kódu, který v SMS dorazí, se můžeme k bankovnímu účtu přihlásit.

Do jisté míry se tedy jedná o zabezpečení, které funguje a pokud by hacker nezískal přihlašovací údaje k účtu a zároveň i náš mobilní telefon, je prakticky nemožné, aby se k účtu úspěšně přihlásil. Pojďme se ale nyní podívat na princip, na kterém funguje mimo jiné i provoz mobilních operátorů.

O ten se stará signalizační systém SS7 vytvořený v roce 1980. Jedná se o sadu komunikačních protokolů, které používají digitální ústředny a také sítě mobilních operátorů. Tyto protokoly mají nastarosti spojování a ukončování veškeré komunikace v těchto sítích. Bohužel tento protokol má jisté konstrukční vady, které jej činí náchylným k prolomení a zneužití. Těchto nedostatků samozřejmě využili hackeři, který tak dokáží odposlechnout provoz i přesto to, že mobilní operátoři používají poměrně silné šifrovací algoritmy.

Loni německý bezpečnostní expert ze společnosti Research Labs – Karsten Nohl ukázal, jak je možné odposlouchávat a sledovat osobu díky bezpečnostním nedostatkům v SS7. Svůj objev demonstroval na americkém kongresmanovi Tedu Liemu, který k tomuto pokus udělil souhlas. Během 60minutového pořadu, ve kterém Lie účinkoval provedl Nohl nejen odposlech a záznam telefonního hovoru, který Lie uskutečnil ze svého iPhonu, ale také byl schopen v reálném čase sledovat jeho polohu.

Problém postihuje všechny mobilní platformy. Je tedy jedno zdali vlastníte Android, iPhone, či Windows Phone. Díky této chybě tak lze nejen odposlechnout hovory obětí, ale také zachytit jakoukoliv SMS zprávu. Pokud se útočník, nebo celá zločinecká organizace rozhodně plošně uškodit, mají poměrně velkou šanci na úspěch.

Co musí útočník udělat?
  • Nejprve od obětí potřebují získat přístupové údaje i internetovému bankovnictví. To lze udělat jedním z mnoha způsobů. Typicky se jedná o phishing, nasazení trojských koní do počítačů obětí atd. Kromě přístupu k účtu musí útočník také získat mobilní číslo pro ověření.
  • Útočníci si pak mohou zakoupit přístup do sítě přes falešného poskytovatele telekomunikačních služeb a natavení přesměrování zpráv oběti na přístroj útočníka, v tomto případě si útočník objednává SS7 přesměrování SMS zpráv, které zasílá banka.
  • Jakmile získá potřebné údaje, stačí se přihlásit k účtu a pomocí chyby v SS7 pak odchytit obsah autentizační zprávy a získat z ní kód pro ověření.

Německá O2 zveřejnila nedávný útok zločineckého gangu, který provedl útok ze sítě zahraničního mobilního operátora v polovině letošního ledna.

Z výše uvedeného vyplývá, že autentizační SMS nejsou rozhodně bezpečné a celkové to vrhá nepříjemný stín na způsob ověřování, které prakticky všechny tuzemské banky nabízejí s vyjímkou snad pouze Unicredit Bank, která pro ověření používá svou aplikaci, které generuje pro každé přihlášení ověřovací token.

 
Jakub Sobotka

Jakub Sobotka

IT geek, milovník mobilních technologií, blogger ... Ve volném čase sedlá horský bajk, rád fotí a tráví čas se svou rodinou ..... šéfredaktor a zakladatel webu Techbrain.cz

Nový komentář