Jak się okazuje bezgraniczna wiara w dwustopniowe uwierzytelnianie jakim jest na przykład token SMS w systemie bankowym, może zakończyć się kradzieżą 45 tysięcy dolarów. I w tym konkretnym przypadku, na szczęście bank pokrył straty klienta ale warto mieć świadomość możliwości takich ataków, by w przyszłości ochronić swoje fundusze. W czerwcu pewien Australijczyk otrzymał telefon od swojego banku, informujący go o zakończeniu wypłaty 45 000$ z jego konta. Mocno zdziwiony potomek krokodyla Dundee zadziwił się przeogromnie, gdyż wierzył, iż korzystając nie tylko z hasła do bankowości elektronicznej ale także dodatkowych kodów SMS, będzie bezpieczny. Jak cyberprzestępcy oszukali system?
Zainfekowanie systemu operacyjnego ofiary to już dziś chleb powszedni, w ten sposób uzyskali dostęp do loginów i haseł do systemu bankowego. Jednak w celu uzyskania dostępu do kodów SMS posłużyli się nową i dość ciekawą techniką. Nie infekowali telefonu złośliwym oprogramowaniem jak to robił pewien wariant trojana ZeuS ale wykorzystali proceduralne podatności w systemie telefonii komórkowej. W pierwszej fazie uzyskali wszelkie przydatne informacje na temat ofiary – dzwoniąc do biura gdzie pracował (podając się za urząd podatkowy) oraz do jego córki. Następnie z uzyskanych informacji, przygotowali wniosek do operatora sieci komórkowej właściciela firmy o przeniesienie numeru do innego operatora. Po przekonaniu operatorów o legalności przeniesienia, wysłali do właściciela telefonu SMS informujący o przejściowych problemach w sieci komórkowej. Po przeniesieniu numeru, wykorzystali uzyskane loginy i hasła do systemu bankowego i wyprowadzili 45 tysięcy dolarów z konta zdziwionego biznesmena :] Na końcu przenieśli numer do macierzystego operatora, by dłużej pozostać w cieniu.
Jak widać pomysłów na przestępstwo jest wiele i ataku należy się spodziewać z każdej możliwej strony.
4 komentarze do
12 grudnia, 2011 o godzinie 11:55
Jak przenoszac numer do innej sieci mozna przejac nad nim kontrole?
12 grudnia, 2011 o godzinie 12:20
Nie bardzo rozumiem pytanie. Jeśli zależy Ci na czytaniu SMSów – np. przenosisz się do operatora, który udostępnia możliwość odczytu SMSów ze strony WWW lub via e-mail – hasło ustalasz w BOKu.
12 grudnia, 2011 o godzinie 18:24
Przykład fajny, choć trochę mylący. Mylący w tym sensie, ze w różnych krajach i u różnych operatorów (czasem nawet w zależności od wybranej usługi) podszycie się pod właściciela numeru wymaga różnego „zaangażowania” atakującego. Jak na razie w Polsce jest z tym całkiem nieźle. Raczej na podstawie dumpster diving takiego przekrętu zrobić się nie da. Piszę raczej, bo nie śledzę ofert/procedur każdego operatora, bardziej patrzę na to, jakie papierki/dokumenty muszę posiadać, by w swojej własnej sprawie załatwić. Oczywiście nie można wykluczyć, że podejście „frontem do klienta” tego typu ataki ułatwi również w naszym kraju.
Przy okazji – trzeba pamiętać, że jest to jednak atak typu „targetowanego”, w takim przypadku atakujący jest dużo bardziej zdeterminowany, by osiągnąć swój cel. Mówiąc inaczej, o ile w przypadku „zwykłego” złodzieja atrapa syreny systemu alarmowego albo zaświecone światło w łazience skutecznie skłoni go do okradzenia sąsiada, to ten złodziej, który akurat chce podprowadzić coś od ciebie może nie przestraszyć się nawet prawdziwego systemu alarmowego, wielkiego psa i strażnika.
12 grudnia, 2011 o godzinie 23:52
Mam niestety ten zły odruch, że wierzę, iż czytelnicy patrzą szerzej i mają bujną wyobraźnie i czasami za bardzo uogólniam i kończy się tak właśnie, że ludzie postrzegają świat przez pryzmat swojego podwórka. Powinni więcej podróżować ;]