A banktól kapott SMS sincs biztonságban

A WannaCry árnyékában a világ megfeledkezett egy hasonlóan komoly biztonsági résről, mely a mobilcégek SMS szolgáltatásait érinti. A sérülékenység segítségével a banki azonosító kódokat tartalmazó SMS üzeneteket sikerült más telefonszámra átirányítani, és így a bűnözők pénzt tudtak lopni német bankszámlákról. A biztonsági rést már 2014-ben felfedezték, de idén használták először.

Mire készülhet a kormány?
Meg lehet még menteni az idei évet az ezer sebből vérző gazdaságban?

Online Klasszis Klub élőben Győrffy Dórával!
Vegyen részt és kérdezze Ön is a közgazdászt, egyetemi tanárt!

2025. július 16. 15:30

A részvétel ingyenes, regisztráljon itt!

A Süddeutsche Zeitung cikke szerint a sérülékenységet kihasználó bűnözőknek sikerült olyan SMS üzeneteket átirányítani a saját készülékeikre, melyek a banki azonosításhoz használt, egyszer használatos kódokat tartalmazták. A megszerzett kódokat a bűnözők különböző összegek átutalására használták fel – éjjel, mikor a célszemélyek aludtak.

Mindehhez a támadóknak ismerniük kellett a kiszemelt célszemély banki adatait, mobilszámát, és hozzá kellett férniük az SS7 protokollhoz. A banki adatokat, mobilszámot adathalász támadással szerezték meg. Az SS7 protokollhoz való hozzáférést pedig egyszerűen megvásárolták, kevesebb mint ezer euróért a német O2 Telefonica egyik meg nem nevezett külföldi partnerétől. Így képesek voltak kedvükre hívásokat és SMS-eket átirányítani.

Így támadnak a kiberbűnözők
A hackerkedés roppant kompetitív aréna. Gőzerővel folyik az eltulajdonított tartalmak adásvétele, a net fekete zónájában bitcoinnal fizetnek értük. A vállalatok gyakran nem is tudják, hogy pontosan mit loptak el tőlük. Amikor bejelentik az incidenst, rendszerint annyit tudnak csak közölni, hogy potenciálisan hány millió bankkártyát és fogyasztót érinthetett a kiberbetörés.
Középkorú technológia a középpontban

Az SS7, vagyis Signaling System #7 egy telefonos protokollt takar, melyet 1975-ben fejlesztettek ki, és amit azóta világszerte több mint 800 vezetékes és mobil távközlési szolgáltató használ. A protokoll szabályozza a hívástovábbítást, a számlázást, a szöveges üzenetek küldését. Segítségével állapítják meg, hogy egy SIM kártya még mindig használatban van, vagy sem. Lehetővé teszi a számok hordozását, hogy a szolgáltatók egy mobiltelefon földrajzi helyzetét bemérjék 50 méteres pontossággal. Erre nem azért van szükség, mert kémkedni szeretnének utánunk, hanem azért, hogy a szolgáltató az egyik adótoronyból a másiknak adja át a hívást. E nélkül az autós mobilhívás megszakadna, miután az eredeti kapcsolatot létrehozó adótorony hatósugarából kikerülünk.

A kihasználható sérülékenységet 2014-ben két német kutató, Tobias Engel és Karsten Nohl publikálta, előtte állítólag a titkosszolgálat használta a célszemélyek tartózkodásának megállapítására. Az egyik kutató, Karsten Nohl 2016-ban bebizonyította, hogy egy jól felszerelt támadó belehallgathat a telefonbeszélgetésekbe, és meghatározhatja a felhasználó földrajzi helyzetét. Az akkori következtetések szerint egy átlagos embernek nincs miért tartania a támadástól. Azonban tavaly az Amerikai Egyesült Államok szabványügyi hivatala már azt javasolta, hogy az SMS alapú, kétfaktoros azonosítást ki kellene vezetni.

Kép: Pexels

Mivel az SS7 protokollt 42 éve dolgozták ki, az akkori szabványok és élet szerint biztonságos technológiáról beszélhetünk. A kidolgozói nem tudhatták, hogy évtizedekkel később egy olyan technológia, melyet internetnek nevezünk, életünk minden részét átitatja. Az SS7 biztonsága azon az előfeltételezésen alapult, hogy a technológia csak a távközlési szolgáltatók számára elérhető, és nem fér hozzá a nagyközönség.

Hogyan tudunk ellene védekezni?

A német vírusvédelemi cég, a G DATA szakemberi arra hívják fel a figyelmet, hogy az SMS üzenetekben kiküldött kódok helyett a bankoknak más módszert kellene használniuk a kétlépcsős azonosításra. A szakemberek a hardveres biztonsági tokenek, vagy a Google Authenticatorhoz hasonló mobilalkalmazások bevezetését javasolják. Addig is a távközlési vállalatok felelőssége az SS7-ről más, biztonságosabb protokollokra áttérni.

 

Véleményvezér

Teljes bukta lett Orbán Viktor igazságpillanata

Teljes bukta lett Orbán Viktor igazságpillanata 

Orbán Viktor egyre nagyobbakat lódít egyre kevesebb sikerrel.
Elutasították Magyar Péter feljelentését Orbán Viktor ellen

Elutasították Magyar Péter feljelentését Orbán Viktor ellen 

Az ügyészség döntött Orbán Viktor feljelentése ügyében.
Vatikán már nem békepárti, a pápa az ukrán elnököt fogadta

Vatikán már nem békepárti, a pápa az ukrán elnököt fogadta 

Az új pápa előbb fogadta az ukrán elnököt, mint Orbán Viktort.
Magyar Péter nyilvánosságra hozta, hogy szerinte hol lopott milliárdokat a Fidesz

Magyar Péter nyilvánosságra hozta, hogy szerinte hol lopott milliárdokat a Fidesz 

Milliárdosok aggódhatnak egy kormányváltás esetén.
A szabadság hőseként ünnepelték Karácsony Gergelyt az Európai Parlamentben

A szabadság hőseként ünnepelték Karácsony Gergelyt az Európai Parlamentben 

A budapesti főpolgármester megdicsőült Strasbourgban.
A Fidesz az elmúlt öt év költekezését részben forintleértékelésből fedezte

A Fidesz az elmúlt öt év költekezését részben forintleértékelésből fedezte 

Első helyen az ipari termelői árak drágulásában.

Info & tech

Cégvezetés & irányítás

Piac & marketing


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo