Numer telefonu jest powiązany z konkretną osobą, więc nie dziwi, że jest często podawany jako dodatkowe zabezpieczenie logowania. Jednak jednorazowe kody SMS nie są tak bezpieczne, jak się wydaje. Nie trzeba do tego żadnych hakerskich wytrychów – wystarczy niedrogie, komercyjne narzędzie.
Uzyskanie dostępu do czyjejś tożsamości jest łatwiejsze, niż mogłoby się wydawać. Nie trzeba do tego stosować zaawansowanych zabiegów jak przejmowanie karty SIM (SIM-jacking, SIM Swap), ataki SS7 i tym podobne. To znacznie prostsze, czego dowiódł haker znany jako Lucky225.
Haker i dziennikarz Joseph Cox przeprowadzili eksperyment. Lucky225 dostał zlecenie, by przejąć tożsamość dziennikarza. Nie zajęło to dużo czasu, a Cox w ogóle się nie zorientował, że ktoś inny ma dostęp do jego WhatsAppa, Postmates (usługa dowozu jedzenia) i Bumble (aplikacja randkowa) i wielu innych. Jak to możliwe?
Nie doszło do żadnego ataku technicznego, skierowanego na kartę SIM ofiary. To groziłoby odcięciem dziennikarza od telefonu i z pewnością by się zorientował, że coś tu nie gra. Tymczasem telefon działał prawidłowo. Lucky225 na jakiś czas przekierował tylko wiadomości tekstowe z numeru Coxa na inny telefon… z użyciem komercyjnej usługi. Kosztowało go to 16 dolarów i trochę kłamstw.
Haker wykorzystał Sakari – jedną z wielu komercyjnych usług przekierowujących wiadomości tekstowe ze wskazanego numeru na inne urządzenie. Takie usługi są wykorzystywane między innymi w marketingu i kontaktach z klientami za pośrednictwem SMS-ów. Lucky225 podrobił dokument potwierdzający, że jest właścicielem numeru telefonu Coxa i wysłał go do Sakari. Oszustwo zakończyło się sukcesem. SMS-y autoryzacyjne wpadły w ręce hakera, a Cox nawet nie wiedział, że coś do niego nie doszło. Z punktu widzenia usług, z których korzysta, również wszystko było w porządku.
Jak wspomniałam, takich usług jest więcej i w ich regulaminach znajdują się zapisy o tym, że nie wolno ich używać w takich atakach. Tylko co z tego? Widział ktoś kiedyś cyberprzestępcę, który przejął się naruszaniem regulaminu? Chętnie tej bajki posłucham.
Zobacz: T-Mobile uspokaja: magentowe karty SIM nie są podatne na ataki typu Simjacker i WIBattack
Zobacz: Kradzież pieniędzy po przejęciu numeru telefonu: Rzecznik Finansowy pozwał bank
Nie bez powodu banki odeszły od SMS-ów na rzecz innych metod autoryzacji dodatkowej przy logowaniu i potwierdzaniu operacji. SMS-y nie zapewniają takiego bezpieczeństwa jak fizyczne klucze czy aplikacje do autoryzacji dwuetapowej. Podobne zarzuty są kierowane przeciwko e-mailom z kodami jednorazowymi. Nie muszę chyba przypominać, że stosowanie jedynie hasła to proszenie się o kłopoty?
Źródło tekstu: Vice (Joseph Cox), Medium (Lucky225)
