Et tysk teleselskab bekræfter, at hackere har benyttet mobilnetværks SS7-protokol til at tømme bankkonti og omgå to-faktor SMS-godkendelse.

Har du aldrig hørt om SS7, så skal du ikke fortvivle. SS7 er den kommunikations protokol, som styrer kommunikationen på f.eks. mobilnetværk.

SS7, som også går under navnene CCSS7, C7 eller CCIS7, udfører mange forskellige funktioner på mobilnetværket. Når du laver et opkald, så er det SS7, der sørger for at kommunikere med mobilnetværket, og at din telefon får tildelt en frekvens. SS7 sørger for at din mobiltelefon skifter til den nærmeste mobilmast samt du kan sende og modtage SMS beskeder.

(Foto: Gerd Altmann)

Alle andre systemer står så at sige på skuldrene af SS7.

SS7 kan misbruges

Det er efterhånden mange år siden det kom frem, at SS7 kan misbruges på forskellige måder. Det er alment kendt, at SS7 kan bruges til at oprette falske mobilmaster, som efterretningstjenesterne kan bruge til spionaktiviteter. Disse falske mobilmaster kan f.eks. slå krypteringen af samtaler fra, så man kan aflytte alle samtaler, der foretages på mobilmasten.

Ligeledes kan man med ret stor succesrate misbruge SS7 til at lokalisere mobiltelefoner uanset hvor i verden de befinder sig. Denne skumle feature har de danske teleselskaber dog lukket ned for med en række ændringer på mobilnetværkene tilbage i 2015.

Indtil videre har SS7 primært været misbrugt til spionage, men nu begynder IT-kriminelle også at bruge sårbarheden til økonomisk kriminalitet. Det skriver The Register, som citerer Süddeutsche Zeitung.

Hackere tømte bankkontoen

Det er kunder hos det tyske teleselskab O2-Telefonica, der har været udsat for et udspekuleret to-trins hackerangreb, hvor hackere har omdirigeret penge fra ofrets bankkonto til deres egne konti.

I det aktuelle tilfælde er hacket ifølge Süddeutsche Zeitung sket i to trin.

Først har hackerne sendt en phising e-mail, som foregiver at komme fra kundens bank. I mailen snydes offeret til at gå ind på bankens hjemmeside. Linket er ikke til bankens hjemmeside, men derimod til en hjemmeside, der til forveksling ligner bankens. Avisen skriver, at forskellen i webadressen til hackers snydeside og bankens rigtige hjemmeside f.eks. kun har været en bindestreg, hvilket kun de virkelig opmærksomme kunder vil opdage. I stedet for danskebank.dk så kunne adressen altså være danske-bank.dk (tænkt eksempel).

På den falske hjemmeside har ofret indtastet kontonummer, kodeord og telefonnummer, og disse oplysninger har hackerne så brugt til trin to.

The Register mener derimod at der er benyttet malware, der har opsamlet oplysningerne. Under alle omstændigheder, så er der indsamlet en række oplysninger, som hackerne har brugt til trin to.

SMS koder er ikke sikre

I Tyskland bruger man ligesom i Danmark ofte to-faktor godkendelse via SMS engangskoder.

Via SS7 kan hackerne med ofrets telefonnummer få adgang til teleselskabernes Home Location Register (HLR). Hvis man bruger sin mobiltelefon i udlandet, så sender det udenlandske teleselskab en forespørgsel til kundens nationale teleselskab, så man kan sikre sig, at telefonen må bruges i udlandet.

Med en endnu uklar metode kan hackerne snyde mobilnetværket til at omdirigere SMS-beskeder og opkald til et anden nummer. Det nationale teleselskab tror altså at telefonen befinder sig i udlandet, og sender derfor alle SMS-beskeder til det udenlandske teleselskab, som så sender beskeder og opkald videre til, hvad netværket tror er ofrets mobiltelefon.

På den måde kan man omgå to-faktor autentifikationen, og hackerne har nu mulighed for at tømme ofrets bankkonto.

For at undgå at offeret bemærker hacket, så har hackerne gennemført deres svindel i nattetimerne, hvor ofret ikke benytter mobiltelefonen.

– Læs flere sikkerheds-historier fra MereMobil.dk

Mere til historien

To-faktor autentifikationen via SMS koder har MEGET længe været anset som usikker. Hvis ud vil vide alt om aktuelle IT-trusler så følg Threat Wire.