Alfonso Maruccia

SS7 violato, criminali prosciugano conti tedeschi

Ignoti cyber-criminali sfruttano uno dei protocolli di interscambio dati più "antico" della Rete per compromettere account bancari protetti con verifica a due fattori. SS7 non è più sicuro, ma nemmeno il futuro promette bene

Roma - Dalla Germania arriva un cyber-attacco che è stato capace di unire tecniche di compromissione moderne e il protocollo Signalling System No. 7 (SS7), una tecnologia risalente agli anni '70 sviluppata per consentire a diversi network di telefonia mobile e di terra di interconnettersi e scambiare dati in facilità. Il problema è strutturale, e anche il sistema che dovrebbe sostituire SS7 ha i suoi bei problemi di sicurezza.

Le vittime della truffa sono alcuni utenti abbonati alle linee del provider tedesco O2-Telefonica, costretti a vedersi prosciugare gli account bancari nonostante la protezione aggiuntiva dell'autenticazione a doppio fattore basata sull'invio di codici identificativi su numeri telefonici cellulari.

Il rischio di compromissione di SS7 era già nota da tempo, e i provider hanno sempre fatto spallucce giustificandosi con la difficoltà di portare a compimento un attacco: i criminali interessati hanno guadagnato l'accesso interno a un provider di telecomunicazioni poco interessato a rispettare la legge, riuscendo quindi a intercettare i codici per l'autenticazione a doppio fattore mettendo sotto controllo i numeri cellulari delle vittime.
Prima, però, i cyber-criminali si sono curati di infettare i PC delle suddette vittime con malware capaci di rubare le credenziali di accesso ai conti bancari. Infine, con tutte le informazioni necessarie a disposizione, gli ignoti truffatori si sono collegati ai siti degli istituti finanziari trasferendo il denaro a conti esterni. I tentativi di accesso avvenivano nel mezzo della notte, così da ridurre al minimo la possibilità di allarmare le vittime.

L'attività criminale ai danni di SS7 e degli utenti tedeschi sarebbe andata avanti per alcuni mesi, dicono le fonti, in un caso di furto telematico che evidenzia ancora una volta i pericoli del protocollo SS7 e l'uso che i network ne fanno ancora oggi in un mondo completamente diverso da quello di 40 e più anni fa. SS7 è strutturalmente vulnerabile, continuano ad avvertire i ricercatori, e anche la tecnologia pensata per sostituirla (protocollo Diameter) sulle reti 5G presta il fianco a gravi problemi di sicurezza.

Alfonso Maruccia
Notizie collegate
90 Commenti alla Notizia SS7 violato, criminali prosciugano conti tedeschi
Ordina
  • Tutti i messaggi di questo forum sono scritti dalla stessa persona che si autorisponde! Ne sono sicuro!
    non+autenticato
  • - Scritto da: controlli a campione
    > Tutti i messaggi di questo forum sono scritti
    > dalla stessa persona che si autorisponde! Ne sono
    > sicuro!
    Dici? MMhh allora sei sempre tu con migliaia di alias, compreso il mio, cioè tu ed io siamo la stessa persona e non me ne sono mai accorto
    Azz che botta di shizofrenia Rotola dal ridere
    non+autenticato
  • - Scritto da: controlli a campione
    > Tutti i messaggi di questo forum sono scritti
    > dalla stessa persona che si autorisponde! Ne sono
    > sicuro!

    Si e sei tu. Sorride
    non+autenticato
  • " intercettare i codici per l'autenticazione a doppio fattore mettendo sotto controllo i numeri cellulari delle vittime"

    Quindi non basta l'ISP cialtrone...bisogna anche farsi intercettare il traffico del cellulare.
    E immagino che questi utonti geniali usino lo stesso smartphone dove installano qualsiasi cosa anche per farsi dare i codici di autenticazione della banca. Complimentoni.

    X gli utonti in ascolto: Volete evitare di farvi fregare i soldi dalla banca com descritto nell'articolo?
    1) Compratevi un cellulare "della nonna", di quelli SENZA INTERNET, che mandano al massimo gli SMS. Tipo il 3310, che si compra e NON si aggiorna mai e col quale NON CI SI COLLEGA MAI A INTERNET.
    2) Fatevi mandare gli SMS di autenticazione solamente lì


    3) (opzionale) Quando sentite qualcuno dire "ma io ho pagato 800 Euro per il cellulare facendo la coda col contante in mano. Non è possibile che mi capiti, con quello che ho pagato! Vuoi che siano tutti deficienti quelli in coda?"
    ...fate come disse Virgilio: "Non ragioniam di lor, ma guarda e passa"
    non+autenticato
  • Queste sono cose a cui dovrebbe pensare chi progetta il protocollo di comunicazione.

    Chi ha deciso che siccome tutti gli italiani hanno lo smartphone sempre appresso la cosa più sicura è l'autenticazione via SMS è un incompetente.

    Il fatto che ci vogliano i troll per urlare ai quattro venti nei forum che è meglio usare un feature phone è solo la prova di quanto sia vulnerabile lo schema, perchè sappiamo tutti che tra milioni di persone alla fine ad usare il feature phone saranno quattro gatti.
    non+autenticato
  • ...studiare è importante.

    La compromisssione del SS7, vulnerabilità spiegata già nel 2014, consente proprio di intercettare gli SMS, senza bisogno di avere accesso al terminale (smart, feature or dumb phone). Quindi un 3310 è vulnerabile come un Galaxy S6, perché la vulnerabilità è sulla RETE, non sui terminali.

    Per assurdo, un Token Generator su Smartphone o un sistema di comunicazione della OTP direttamente alla App, ammesso che lo smartphone non sia compromesso, non sarebbe stato vulnerabile.

    E' proprio l'autenticazione a due fattori di cui uno dei fattori usa l'SMS come trasporto che è fallato, come da tempo indicato nelle linee guida del NIST.
    non+autenticato
  • Quello che dici è valido pr il caso dell'articolo.
    Peró uno smartphone è vulnerabile a tanti tipi di attacco. Già il malware che fa screen capture ad intervalli regolari mette l'utente a rischio.
    non+autenticato
  • Credo che non ci siamo capiti.

    Per fottere i soldi agli utonti hanno bisogno di DUE cose: l'accesso ai dati bancari PIU' gli SMS di controllo.

    Se io uso:
    -un PC/smartphone per collegarmi alla banca con un ISP
    -un feature phone separato (con SIM di un altro provider, ovviamente) per ricevere gli SMS
    alla fine devono craccarli entrambi (smartphone + rete) per rubarmi i soldi. Non basta rubare gli SMS, così come non basta craccarmi lo smartphone.

    Se invece l'utonto fa tutto con lo stesso smartphone, la vita per i farabutti è più facile anche in questo caso.

    Ecco perché è comunque meglio separare le due cose.

    Se parlo al v...ehm...cerco di istruire gli utonti è perché spero sempre che qualcuno di loro si svegli, rendendo la vita meno facile ai truffatori di ogni risma.

    Basterebbe mettere su una sezione di Best Practice per utonti (coi disegnini) su tutti i siti di tecnologia e avremmo già risolto molti problemi.
    non+autenticato
  • Guarda che intercettano proprio gli sms, quindi anche il cellulare della nonna, anzi specialmente quello visto che l'ss7 è particolarmente usato sulle reti 2f e 3g...mi sembra che l'utonto sia proprio tu...
    non+autenticato
  • Mh, dalle mie parti o ci lavori o nessuno ti fa un duplicato della SIM (ovvero cancella la vecchia, altrimenti dicesi SIM clonata, e nel caso devi lavorare proprio nel backoffice di una compagnia o aver le mani molto in pasta) senza un documento che corrisponda alla tua faccia e si verifichi e normalmente le bache han un'autenticazione a due fattori, quindi l'unico scenario possibile è che la banca in oggetto abbia come seconda autenticazione un codice via SMS e loro sian riusciti ad avere l'SMS, cosa che mi pare difficile da remoto.

    A parte ciò se anche arrivi all'internet bancking e fai un bonifico è un po' dura riscuotere senza farsi notare, puoi scegliere un paese di comodo ma o la vittima opera abitualmente su quel paese o la banca normalmente non autorizza attività extra-SEPA alla leggera e comunque non fa il bonifico immediatamente. Ricarichi una carta? Di nuovo sei tracciato. 'Somma mi pare una bufala...
    non+autenticato
  • Lo pensavo anch';io, ma leggendo questi altri post...
    Mi pare realistico.

    http://www.finanzaonline.com/forum/banking-carte-d...
    non+autenticato
  • Le vulnerabilità nei protocolli di comunicazione sono by design per permettere l'intercettabilità: argomento spinoso poiché da un lato è enormemente utile contro il crimine in genere, dall'altro è un potente strumento per commettere crimini.

    SS7 si usa in tutto il mondo praticamente in ogni rete PSTN tradizionale, non è una "vulnerabilità specifica" di un qualche sistema di phone/internet banking tedesco...
    non+autenticato
  • - Scritto da: xte
    > Le vulnerabilità nei protocolli di comunicazione
    > sono by design per permettere l'intercettabilità:
    > argomento spinoso poiché da un lato è enormemente
    > utile contro il crimine in genere, dall'altro è
    > un potente strumento per commettere
    > crimini.
    >
    > SS7 si usa in tutto il mondo praticamente in ogni
    > rete PSTN tradizionale, non è una "vulnerabilità
    > specifica" di un qualche sistema di
    > phone/internet banking
    > tedesco...

    In ogni caso affidarsi a questo protocollo per autorizzare transazioni finanziarie è un errore grave.
    Un generatore di codici come un token o il Chip Authentication Program è nettamente più sicuro.
    non+autenticato
  • Per quanto mi riguarda il phone banking non dovrebbe proprio esistere e le vecchie soluzioni tipo i pos analogici manco, ma questo è un'altra storia...

    Il mondo evolve a velocità differenti e purtroppo più ci si allontana dal primato della tecnica per passare a quello dell'amministrazione più lenta e peggiore è l'evoluzione...
    non+autenticato
  • - Scritto da: xte
    > Per quanto mi riguarda il phone banking non
    > dovrebbe proprio esistere e le vecchie soluzioni
    > tipo i pos analogici manco, ma questo è un'altra
    > storia...
    >
    > Il mondo evolve a velocità differenti e purtroppo
    > più ci si allontana dal primato della tecnica per
    > passare a quello dell'amministrazione più lenta e
    > peggiore è
    > l'evoluzione...

    Purtroppo l'autorizzazione a due fattori viene usata anche per l'online banking.
    Quando vedo una banca italiana che dice che d'ora in poi è obbligatorio il codice ricevuto via SMS per autorizzare i bonifici e poi ti dice che non si può mandare il codice via mail perchè il sistema non funziona mi cadono le braccia.

    Ovviamente la maggior parte delle persone userà lo smartphone per ricevere l'SMS visto che hanno solo quello, quindi la banca li costringe a tenere sullo smartphone informazioni relative al loro conto corrente, non è tanto, ma abbastanza per mettere su un attacco di phishing.
    non+autenticato
  • Che informazioni? Ricevi un sms dal numero di una banca, quindi si suppone tu sia cliente di essa. Il codice che ricevi è un'OTP quindi di nessuna utilità...

    Se poi usi l'app dedicata "per cetriol^H^H^H^H^H^H^H pagare in un tap", vabbé quello è un altro discorso e rientra nell'insieme di quelli che usan la data di nascita come password, che tengono il pin sul retro della carta o quello del cellulare in un pezzo di carta scotchato sulla cover, quelli che lascian le chiavi di casa nel sasso finto compranto da una nota catena di supermercati ecc...
    non+autenticato
  • - Scritto da: xte
    > Che informazioni? Ricevi un sms dal numero di una
    > banca, quindi si suppone tu sia cliente di essa.

    Per uno che mette un'app su uno store e pesca informazioni a caso da milioni di utenti questo è già qualcosa per partire con un tentativo di phishing.


    >
    > Se poi usi l'app dedicata "per
    > cetriol^H^H^H^H^H^H^H pagare in un tap", vabbé
    > quello è un altro discorso e rientra nell'insieme
    > di quelli che usan la data di nascita come
    > password,...

    Una banca ha milioni di clienti e statisticamente tra loro di quelli che si scrivono la password sul post it attaccato al telefono ce ne sono tanti.
    Solo che tu ci puoi fare le battute sopra una banca no, una banca si suppone sappia gestire le cose in maniera responsabile e deve prevedere le vulnerabilità a cui espone i clienti. Almeno questo è quello che si dice nel mondo dei sogni perchè gli incompetenti che gestiscono la banca hanno deciso che funzionerà cosi e hanno fatto partire il sistema.
    non+autenticato
  • Il postit richiede cmq accesso fisico al telefono, non lo "leggi" con la telecamera Sorride

    Cmq sulle banche... Pensa al caso del bancoposta qualche anno fa (pasticcio dei saldi in vari conti correnti, bancomat che si fregavano soldi ecc) o quello del SanPaolo Imprese (login passwordless col solo id per alcuni giorni, sia pur impossibilità a realizzare operazioni dispositive senza token)... I "sistemisti" e "code monk^w^wsviluppatori" a cottimo ci sono anche li, sia pur non al livello descritto di questa "truffa"...

    Comunque vi sono norme varie a tema security e ad altre a tema "pecuniario" in caso di problemi e un utente pirla come quello descritto nei link non è coperto di sicuroA bocca aperta

    'Somma, non son convinto, mica vuol dire che la notizia sia falsa, semplicemente non mi suona plausibile!
    non+autenticato
  • Perchè allora è una bella notizia.Ficoso
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)