Podobno złodzieje kradnący pieniądze z kont bankowych zaczęli celować również w te systemy, w których autoryzacja transakcji odbywa się przy pomocy kodów SMS. Rozwinę trochę ten temat.
Kradnięcie SMS - myśli kilka
Powiedzmy, że jest sobie grupa przestępcza, która postanowiła okraść klientów kilku banków. Podejście "tradycyjne", czyli phishing albo malware kradnący hasła daje po pewnym czasie zbiór loginów i haseł. Pozwala to uwierzytelnić się (nie zawsze, są już przypadki, gdzie również do logowania do banku poza hasłem wymagany jest kod SMS), ale nie pozwala wykonać żadnych transakcji. W przypadku "tradycyjnych" sposobów autoryzacji transakcji (podpis cyfrowy, kod TAN) możliwych było kilka ataków "zdalnych". "Zdalnych", czyli takich, gdzie złodzieje siedzą sobie spokojnie w (tu wstawić jakieś odległe miejsce). W przypadku klasycznego phishingu klienci sami podawali kolejne kody jednorazowe, jeśli wykorzystywany był mechanizm podpisu cyfrowego, malware mógł wykraść klucz wraz z hasłem i przesłać do swoich twórców/operatorów. W obu przypadkach złodziej i ofiara mogli być oddzieleni wieloma tysiącami kilometrów. Pozostawała jeszcze kwestia wyprowadzenia pieniędzy, często było to realizowane w ten sposób, że w banku ofiar (bo jednej osoby zwykle nie opłacało się okradać) tworzone były konta przez "słupy", kradzione pieniądze były przelewane na te konta, a "słupy" następnie robiły kolejne przelewy. Wbrew pozorom tu też potrzebna była (i jest) całkiem spora logistyka, tak, by całość operacji przeszła możliwie niezauważona (różnego rodzaju systemy wykrywania fraudów, pranie brudnych pieniędzy, ...).
W przypadku, gdy autoryzacja transakcji jest zrealizowana przy pomocy kodów SMS, pojawia się problem. Użytkownik nie może podać kolejnych kodów SMS, bo ich nie zna, malware z kolei nie wykradnie komórki (podobnie zresztą jak nie ukradnie karty kryptograficznej, ale to inna bajka). Teoretycznie możliwych było kilka scenariuszy phishingu, ale wraz z kodem SMS przesyłana jest informacja o transakcji, której dotyczy (a jest tak przynajmniej w większości obecnie stosowanych implementacji tego rozwiązania), więc użytkownik ze sporym prawdopodobieństwem mógł zorientować się, że coś jest nie tak, gdy ma podać jakiś "kod awaryjny", a w SMS, który otrzymał jest informacja o jakiejś dziwnej transakcji.
Teraz pojawia się informacja o możliwym ataku na kanał dostarczania kodów SMS. Tylko jak ma wyglądać "przypadek użycia". Przecież wysyłany SMS nie jest "rozgłaszany" przez każdy BTS na świecie (tak, na świecie, bo w końcu ktoś może mieć roaming), lecz wysyłany jest tam, gdzie "zarejestrował się" odbiorca tego SMS. Podsłuch (przechwycenie) przesłanego SMS jest możliwe, ale chyba nie do końca jest to możliwe do zrealizowania "zdalnie". Jest możliwe śledzenie ofiary i przechwycenie SMS, co jednak wiąże się ze sporą pracą (ustalenie gdzie mieszka, jak wygląda). W tym wypadku łatwiejszym rozwiązaniem może być "pozyskanie" telefonu w sposób bardziej tradycyjny, czyli przy pomocy "łagodnej perswazji" lub "brutalnej siły fizycznej". Scenariusz z podstawionym BTS wydaje się mniej prawdopodobny, chyba, że w danym obszarze istnieje duża ilość potencjalnych ofiar. To znów jest kwestia zestawienia kosztów i potencjalnych zysków.
Sensowny atak polegałby (według mnie) na opracowaniu metody, w której intruz, korzystając z dowolnie zmodyfikowanego sprzętu, zgłaszałby się do sieci GSM, jako swoja ofiara. Wówczas atak znów nabrałby cech ataku "zdalnego", choć z pewnymi ograniczeniami wynikającymi z (nie)aktywnego roamingu na przykład. Z opisu dostępnego w 25.000 Euro for your old Nokia 1100 wynika właśnie coś takiego: Further investigations revealed that, in particular East European gangs, were buying this German Nokia 1100, were able to hack this model to insert any mobile phone number and use it for criminal purposes, especially to intercept the mobile (sms) TAN code during on-line banking fraud. Znów - nic nowego, przecież klonowanie kart SIM jest możliwe (np. Cloning SIM Cards and Hacking Payphones). Natomiast nie bardzo wiem, jak miałoby to działać całkowicie "zdalnie" i co konkretny model telefonu ma do tego (i to aż tyle, by zapłacić za niego aż 25.000 EUR). Może okazać się, że jednak chodzi rzeczywiście tylko o "zwykły" podsłuch, a wiadomość jest nieprecyzyjna. Sprawa jednak jest ciekawa.
Swoją drogą ciekawe rezultaty miałoby umieszczenie "swoich ludzi" (lub malware) u operatorów GSM lub dostawców bramek SMS. A zresztą: Greek telephone tapping case 2004-2005.
Każdy bank twierdzi, że jego system bankowości internetowej jest bezpieczny. Użytkownik zwykle nie ma możliwości zweryfikowania tych twierdzeń. Można jednak popatrzeć na taki system krytycznym okiem. Tu kilka przykładów na co warto zwrócić uwagę. Certy
Przesłany: Jun 06, 20:31