Cum au reușit hackerii să spargă conturi de online banking protejate folosind autentificare în doi pași

Dacă la începuturi, băncile impuneau pentru autentificarea în conturile online-banking a unui dispozitiv (digipass) aflat în posesia utilizatorului, capabil să genereze coduri unice de acces, această metodă de autentificare a fost între timp substituită cu o alternativă similară, care presupune însă folosirea unui cod de validare recepționat pe telefonul mobil într-un mesaj SMS. Noua schemă de autentificare în doi pași mizează însă pe inabilitatea hackerilor de a intercepta simultan atât parola folosită de utilizator și codul unic trimis prin mesaj SMS, exploatând o vulnerabilitate a rețelei de telefonie mobilă.

Întâmplarea face ca o astfel de vulnerabilitate să existe de ceva timp într-un protocol de comunicație numit SS7, folosit pentru a face posibilă preluarea apelurilor de voce și mesaje SMS în roaming. Potrivit informațiilor publicate în ziarul german Süddeutsche Zeitung, vulnerabilitatea cunoscută încă din anul 2014 este folosită de hackeri în completarea atacurilor de tip phishing pentru a obține acces în conturile online banking și autoriza tranzacții bancare.

Practic, hackerii folosesc mesaje email care îndrumă potențiale victime să acceseze link-uri ducând spre o versiune contrafăcută a paginii de autentificare, creată cu scopul de a obține numele și parola contului de utilizator. Desfășurate mai ales pe timpul nopții, atacurile presupun forțarea deconectării telefonului mobil de la rețeaua proprie și reconectarea în roaming la o altă rețea disponibilă, făcând posibilă interceptarea mesajelor SMS.

Numărul exact al victimelor nu este cunoscut, însă majoritatea par să fie utilizatori ai rețelei germane de telefonie mobilă O2-Telefonica. Deoarece acest tip de atac poate funcționa cu aproape orice rețea de telefonie mobilă, este posibil ca în realitate numărul celor afectați să fie mult mai mare.