04/02/2019

Cyberprzestępcy przechwytują kody używane w e-bankowości w celu okradania kont

Zagrożenia

Autoryzacja dwuetapowa (ang. Two-Factor Authentication, 2FA) to metoda często wykorzystywana przez instytucje finansowe na całym świecie do ochrony pieniędzy klientów. Są to 4- lub 6-cyfrowe kody wysyłane przez bank, które służą do zatwierdzania transakcji. Te jednorazowe hasła banki wysyłają zazwyczaj w wiadomościach tekstowych. Niestety SMS-y są jednym z najmniej bezpiecznych sposobów zaimplementowania 2FA, ponieważ można je przechwycić. Tak właśnie zdarzyło się w Wielkiej Brytanii.

W jaki sposób przestępcy mogą zdobyć wiadomości tekstowe? Istnieje wiele sposobów, a jednym z najbardziej ekstrawaganckich jest wykorzystanie luk w bezpieczeństwie w protokole SS7, który firmy telekomunikacyjne wykorzystują do realizowania połączeń i wysyłania wiadomości (więcej informacji na ten temat znajdziesz w tym poście). Z punktu widzenia sieci SS7 nie jest istotne, kto wysłał żądanie. Zatem jeśli atakujący uzyskają dostęp do tego protokołu, sieć będzie wykonywać ich polecenia związane z przekazywaniem wiadomości tekstowych i połączeń, tak jakby pochodziły one z legalnego źródła.

Wspomniany schemat wygląda następująco: cyberprzestępcy najpierw uzyskują nazwę użytkownika i hasło do bankowości online ofiary — na przykład poprzez zastosowanie phishingu, keyloggera lub trojana bankowego. Następnie loguja się do banku przez internet i zlecają przelew. Dziś większość banków żąda dodatkowego potwierdzenia transferu i wysyła kod w celu weryfikacji właściciela konta. Jeśli bank wykorzystuje do tego celu wiadomości SMS, oszuści mogą wykorzystać lukę w bezpieczeństwie protokołu SS7: w rezultacie mogą przechwycić SMS i wprowadzić kod, tak jakby dysponowali urządzeniem ofiary. Ponieważ transakcja została dwukrotnie autoryzowana — raz przy użyciu danych logowania ofiary, a drugi przy użyciu kodu jednorazowego — bank traktuje taki przelew jak legalny. W efekcie pieniądze trafiają do cyberprzestępców.

Metro Bank w Wielkiej Brytanii potwierdził dla portalu Motherboard, że ofiarami takiego oszustwa padło kilku jego klientów. W 2017 roku dziennik Süddeutsche Zeitung poinformowała, że problem ten dotyczy również banków w Niemczech.

Na szczęście są też dobre wiadomości. Jak przyznał Metro Bank, problem ten dotknął nielicznej grupy jego klientów i „w efekcie nikt nie został bez pieniędzy”.

Całej sytuacji można by uniknąć, jeśli banki używałyby innej formy autoryzacji dwuetapowej niż wiadomości tekstowe (na przykład aplikacji do autoryzacji lub np. sprzętowego narzędzia typu Yubikey). Niestety na tę chwilę instytucje finansowe (z niewieloma wyjątkami) zwykle nie umożliwiają użytkownikom używanie innych sposobów autoryzacji niż SMS. Miejmy nadzieję, że w najbliższej przyszłości zwiększy się na świecie liczba banków, które będą oferować swoim klientom inne sposoby dla lepszej ochrony.

Najważniejsze wnioski z tej historii można zamknąć w dwóch punktach:

  • Używaj autoryzacji dwuetapowej wszędzie tam, gdzie jest to możliwe, a jeszcze lepiej, jeśli skorzystasz z bezpieczniejszej wersji autoryzacji dwuetapowej: specjalnej aplikacji lub klucza sprzętowego (np. Yubikey). Jeśli to możliwe, zrezygnuj z SMS-ów.
  • Zadbaj o bezpieczeństwo loginów i haseł: w tym celu używaj niezawodnych rozwiązań zabezpieczających, aby ochronić systemy przed trojanami bankowymi i keyloggerami.