Portál TheVerge píše o novom type útoku, ktorým dokážu hackeri presmerovať SMS správy z vášho na ich telefón. Vďaka tomu sa môžu získať overovacie heslá k účtom populárnych služieb.
Nový typ útoku obetí demonštroval a vysvetlil samotný hacker
O tomto type útoku a vlastnej skúsenosti s ním informoval reportér Joseph Fox v článku pre portál Motherboard. Počas komunikácie s kolegom cez službu Hangouts mu neznámy hacker poslal screenshoty s jeho ukradnutými účtami v službách Bumble a Postmates. Zároveň mu od neho prišli aj screenshoty jeho textových správ. Nakoniec mu hackol aj účet v službe WhatsApp a komunikoval s jeho priateľmi v jeho mene.
Joseph Fox po preskúmaní svojho smartfónu nenašiel žiadne stopy po hackerskom útoku. Stále bol pripojený k sieti amerického operátora T-Mobile a nedošlo ani k zrušeniu a preneseniu telefónneho čísla na inú SIM kartu metódou SIM Swap. Spolu s tzv. SS7 útokmi je to najobvyklejší postup pri podobných útokoch. Prekvapivo sa Josephovi hacker s prezývkou Lucky225 ozval a metódu útoku vysvetlil.
K útoku nie sú potrebné žiadne technické znalosti, stačí nástroj na SMS marketing
Ako sa ukázalo, tak hacker prezývkou Lucky225 pracuje pre bezpečnostnú spoločnosť Okey Systems. Vysvetlil, že k útoku využil službu Sakari, ktorej mesačné predplatné ho vyšlo na 16 dolárov. Tá pomáha podnikom pri SMS marketingu a hromadných správach. V službe ale môže človek registrovať aj cudzie mobilné číslo a presmerovať SMS správy, ktoré naň smerujú, do svojho telefónu. Poľahky si tak môže poslať overovacie SMS k heslám služieb ako WhatsApp bez vedomia obete, ktorej tieto SMS nikdy neprídu.
K tomuto typu útoku tak nie sú nutné žiadne technické znalosti. Útok zároveň ukazuje, ako neregulované sú komerčné nástroje SMS, ale aj to, aké existujú medzery v telekomunikačnej infraštruktúre operátorov. Podľa hackera Lucky225 by mal regulátor FCC tlačiť na amerických mobilných operátorov, aby tieto chyby odstránili. Portál Motherboard následne kontaktoval všetky služby a operátorov, ktorí boli súčasťou demonštrácie útokov.
Niektoré zo služieb priamo na správu o útoku ani nereagovali. WhatsApp tvrdí, že chyba je na strane operátorov. Odporúča tiež používať dvojfázové overovanie a ďalšie formy zabezpečenia v jeho službe. Mobilní operátori AT&T, T-Mobile a Verizon odporučili portálu kontaktovať asociáciu CTIA. Tá vyhlásila, že odhalený typ útoku preskúma a urobí potrebné kroky k zabezpečeniu mobilných sietí. Lucky225 je však skeptický a infraštruktúru mobilných operátorov nazýva divokým západom.
