Dvostopenjska zaščita prek SMSov je ranljiva!
Dvostopenjska avtentikacija, kjer za vstop v e-bančništvo potrebujemo tudi kodo, ki jo prejmemo s sporočilom sms, ni posebej varen način dostopa, kažejo najnovejši problemi v Veliki Britaniji in Nemčiji. Pravzaprav ranljivost sploh ni nova, le da si pred leti nihče ni mislil, da jo bo mogoče zlorabljati tudi v praksi.
Gre za protokol SS7 (Signalling System 7), ki ga operaterji uporabljajo za gostovanje in rokovanje z napravami v mobilnem omrežju. Protokol, ki nam omogoča, da se v kateremkoli združljivem omrežju prijavimo s svojo napravo, je v resnici precej luknjičav. Z malo truda lahko hekerji poustvarijo našo telefonsko številko in prestrezajo sporočila ali klice, ki so namenjeni nam.
To pomeni, da zlahka prestrežejo tudi enkratno kodo za dostop, ki jo prejmemo prek SMSa. V Veliki Britaniji se je Metro Banki to že zgodilo, saj so bili njeni komitenti žrtve napadov. To so potrdili tako v sami banki kakor tudi v obveščevalni agenciji GCHQ. Banke v teh primeri škodo povrnejo, kar se je zgodilo tudi v tem primeru. Tudi nemške banke so v preteklosti že beležile poizkuse tovrstnih zlorab. Tudi operaterji priznavajo, da se ti napadi dogajajo, proti čemer se že borijo z novimi zaščitami, so povedali v Vodafonu.
Glavni problem je, da je dostop do omrežja SS7 sorazmerno enostavno dobiti, če imamo na voljo opremo in dovolj denarja. Zlasti popularne so manj razvite države, kjer je mogoče sorazmerno poceni kupiti dostop do SS7, četudi nimamo pravic.
Zaščita pred tem konkretnim načinom napada je uporaba drugačnega načina dvostopenjske avtentikacije, ki ne uporablja SMSov. Aplikacije na pametnem telefonu so na primer odporne na to ranljivost.