Vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA

06/02/2019 mindsecblog Notícias 3

Vulnerabilidade na rede de telefonia permite captura de SMS usado como 2FA. Os criminosos cibernéticos estão explorando falhas no SS7, um protocolo usado pelas empresas de telecomunicações para coordenar a maneira como encaminham textos e chamadas em todo o mundo, para interceptar mensagens enviadas para autenticação de dois fatores (2FA) e fraudar contas bancárias.

A exploração pode permitir que os hackers rastreiem telefones em todo o planeta e interceptem mensagens de texto e chamadas telefônicas sem invadir o próprio telefone.

Embora soubesse que agências de inteligência e empresas de vigilância poderiam realizar esse tipo de ataque, o site Motherboard relatou a confirmação de organizações criminosas motivadas financeiramente usando a técnica para esvaziar contas no Banco do Metrô do Reino Unido em um ataque recente.

“No Metro Bank, levamos a segurança de nossos clientes extremamente a sério e temos uma gama abrangente de salvaguardas para ajudar a protegê-los contra fraudes“, disse um porta-voz do Metro Bank à Motherboard. “Apoiamos as empresas de telecomunicações e as autoridades policiais com uma investigação em todo o setor e entendemos que foram tomadas medidas para resolver o problema.” complementou.

Clientes em outros bancos também foram vítimas desses ataques e o porta-voz chegou a dizer que os afetados em seu banco representam apenas uma pequena porcentagem dos afetados identifidcados.

Os chamados ataques SS7 contra bancos são, embora ainda relativamente raros, muito mais prevalentes do que o relatado anteriormente.

A notícia destaca os buracos na infra-estrutura de telecomunicações do mundo que a indústria de telecomunicações tem conhecido há anos, apesar dos ataques contínuos de criminosos. O Centro Nacional de Segurança Cibernética (National Cyber Security Center – NCSC), o braço defensivo da agência de inteligência de sinais do Reino Unido, o GCHQ – Government Communications Headquarters , confirmou que o SS7 está sendo usado para interceptar códigos usados para serviços bancários. “Estamos cientes de uma vulnerabilidade de telecomunicações conhecida sendo explorada para direcionar contas bancárias ao interceptar mensagens de texto SMS usadas como 2-Factor Authentication (2FA)“, disse o NCSC à Motherboard .

O problema fundamental da rede SS7 é que ela não autentica quem enviou uma solicitação. Portanto, se alguém obtiver acesso à rede – uma agência do governo, uma empresa de vigilância ou um criminoso -, a SS7 tratará seus comandos para redirecionar mensagens de texto ou chamadas com a mesma legitimidade que qualquer outra pessoa. Existem proteções que podem ser colocadas em prática, como firewalls SS7, e maneiras de detectar certos ataques, mas ainda há espaço para exploração.

No caso de roubar dinheiro de contas bancárias, um hacker normalmente precisaria primeiro do nome de usuário e da senha do banco on-line. Talvez pudessem obter isso por meio do phishing do alvo. Então, uma vez logado, o banco pode solicitar a confirmação da transferência enviando ao proprietário da conta um código de verificação em uma mensagem de texto. Com o SS7, os hackers podem interceptar esse texto e inseri-lo por conta própria. Explorar o SS7 dessa maneira é uma maneira de contornar as proteções da autenticação de dois fatores, em que um sistema não apenas requer uma senha, mas também algo mais, como um código extra.