O SS7, que significa Signaling System Nº 7, é um protocolo de sinalização telefônica utilizado por provedores de telecomunicações em todo o mundo. Ele permite que os clientes de diferentes redes se comuniquem entre si e garante que as chamadas não sejam interrompidas quando os usuários estiverem viajando por grandes distâncias.
O SS7 foi criado em 1975 e não possui qualquer proteção ou autenticação, tornando mais fácil a vida de terceiros que queiram se conectar à rede SS7. As deficiências do SS7 são conhecidas há vários anos. Pesquisadores sempre alertaram que pessoas mal intencionadas podem por exemplo, localizar os assinantes, interceptar chamadas e mensagens SMS e assim prosseguir com a fraude.
O primeiro caso de pessoas mal intencionadas que exploraram falhas do SS7 para lucrar agora veio a tona. O jornal alemão Süddeutsche Zeitung informou nesta quarta-feira (3 de maio de 2017) que os cibercriminosos se beneficiaram de ataques ao SS7 para bypassar sistemas de autenticação de dois fatores (2FA) a fim de realizaram transferências bancárias não autorizadas.
O Ataque
Os atacantes primeiramente obtiveram informações das contas bancárias das vítimas, que podem ser conseguidas através de phishing ou malware, e então lançaram um ataque ao SS7 para obter o número de autenticação de transações móveis (mTAN) enviado pelo banco por SMS. mTANs são senhas únicas utilizadas pelos bancos para confirmar transações financeiras.
De acordo com o jornal alemão, os atacantes enviaram as mensagens de SMS contendo o mTAN para um número que eles controlavam, permitindo-lhes concluir as transferências bancárias que haviam iniciado à partir das contas das vítimas.
A empresa de telecomunicações OS-Telefonica confirmou para o jornal que alguns de seus clientes na Alemanha foram alvo de tais ataques através da rede de uma operadora móvel estrangeira em meados de janeiro de 2017. A empresa disse ainda que havia bloqueado o operadora em questão e notificado os clientes afetados.
Especialistas disseram ao jornal alemão que o acesso às redes SS7 pode ser adquirido por menos de mil euros (€ 1.000).
Jean Gottschalk, consultor em segurança de rede móvel SS7 da Telecom Defense, com sede em Las Vegas, confirmou para o site Security Week que o acesso à rede SS7 pode ser obtido por cerca de € 1.000 por mês, mas apontou que isso não é suficiente para realizar os ataques.
Os atacantes também precisaram de uma identidade na rede, conhecida como um título global (GT), que pode ser obtida em operadoras móveis legítimas. Normalmente, essas identidades não são entregues a ninguém, mas o atacantes podem obtê-las subornando funcionários de operadoras móveis localizadas em países menos desenvolvidos. A única condição é que a empresa precisa ter um acordo de roaming com o país das vítimas.
Gottschalk disse que os atacantes podem pagar mais de mil euros por mês para o GT, caso o cúmplice queira uma parte do lucro. Outra maneira de obter acesso é através de terceiros que alugam títulos globais para entrega de SMS e outros serviços, disse o especialista. Afirmou também ao site SecurityWeek que teve conhecimento de operações duvidosas com o objetivo de atingir a Alemanha. Os ataques foram rastreados até um antigo país da União Soviética.
O especialista apontou que o tráfego mal-intencionado foi visto em redes SS7 por várias anos, mas era utilizado principalmente para fins de geolocalização.
Outros “cases” de sucesso do ataque
Quanto aos Estados Unidos, Gottschalk disse que os ataques como os da Alemanha são menos prováveis de ocorrer, porque os bancos normalmente são usam tokens baseados em SMS para confirmar as transações eletrônicas. Por outro lado, advertiu que invasores podem aplicar a técnica para sequestrar contas do WhatsApp e do Signal e bypassar o 2FA em serviços como o Gmail. Devido aos riscos, o NIST e profissionais da indústria, propuseram a substituição do SMS baseado em 2FA por alternativas mais seguras.
No ano passado, pesquisadores demonstraram os riscos associados ao SS7 quando tiveram sucesso em espionar o deputado americano Ted Lieu, sabendo apenas seu número de telefone.
“Tanto a FCC quanto a indústria de telecomunicações têm consciência de que cibercriminosos podem obter nossas mensagens de texto e conversas telefônicas sabendo apenas nosso número de telefone celular”, afirmou Lieu nesta quarta-feira. “É inaceitável que a FCC e a indústria de telecomunicações não tenham agido mais cedo para proteger nossa privacidade e segurança financeira. Eu insisto que o Congresso republicano realize audiências imediatas sobre a questão“.
Até que estas questões sejam tratadas em larga escala, as operadoras móveis podem recorrer a empresas de segurança especializadas, como a Telecom Defense, que realizam auditorias de segurança e apoiam as empresas a implantar firewalls de sinalização.
Créditos
http://www.securityweek.com/hackers-exploit-ss7-flaws-loot-bank-accounts
https://en.wikipedia.org/wiki/Transaction_authentication_number#Mobile_TAN_.28mTAN.29
Créditos da imagem usada na capa do post:
What's your reaction?
