Hacker lợi dụng lỗ hổng trong SS7 để đánh cắp tài khoản ngân hàng

Đầu năm nay, nhiều hacker đã lợi dụng những lỗ hổng trong Giao thức báo hiệu số 7 (Signaling System No. 7 (SS7) là giao thức điện thoại được sử dụng để thiết lập hầu hết các cuộc gọi trong PSTN) để vượt qua phương thức xác minh hai yếu tố và đánh cắp tiền từ tài khoản ngân hàng ở Đức, tờ báo Suddeutsche Zeitung của Đức cho hay.

Hacker đánh cắp thông tin đăng nhập thông qua các email giả mạo, tự nhận là đến từ ngân hàng của nạn nhân. Sau đó sử dụng các lỗ hổng trong SS7 để chuyển hướng tin nhắn SMS yêu cầu xác nhận giao dịch chuyển tiền. Trên tờ Ars Technica, đại diện của O2 Telefonica cho hay: "Tội phạm thực hiện tấn công từ nhà mạng di động quốc tế trong khoảng giữa tháng một". "Cuộc tấn công sẽ chuyển hướng tin nhắn SMS từ khách hàng tới người tấn công".

Ars Technica cho hay nhà nghiên cứu bảo mật Karrsten Nohl đã miêu tả ảnh hưởng tiềm năng của lỗi trong SS7 vào cuối năm ngoái bằng cách ghi lại các cuộc gọi và theo dõi địa điểm của thành viên Hạ viện Mỹ Ted Lieu.

Đầu tuần này, Lieu đăng một dòng trên Twitter rằng "Tôi đã khẩn thiết yêu cầu FCC và ngành công nghiệp viễn thông khắc phục lỗi bảo mật trong SS7. Có lẽ mất tiền trong ngân hàng mới khiến họ hành động".

Lời cảnh báo tới nhà mạng di động

Mark Windle, giám đốc chiến lược và tiếp thị bảo mật tại Mavenir nói với tờ eSecurity Planet rằng tin tức này nên được coi là một lời cảnh báo tới cộng đồng người dùng di động. "Nhà mạng đã hợp tác với nhau để hiểu cách thức khai thác những lỗ hổng và loại bỏ chúng", ông nói.

"Công nghệ SS7 cuối cùng có thể bị thay thế bằng Diameter hoặc SIP nhưng ít nhất SS7 cũng sẽ tồn tại trong ít nhất 10 năm nữa. Và việc hủy bỏ một giao thức một cách đơn giản như thế cũng không phải giải pháp". Windle nói thêm: "Miễn là còn có kết nối quốc gia và quốc tế thì cánh cửa vẫn còn đó".

"Cùng lúc đó, bằng cách tiếp tục khắc phục lỗi bảo mật trong giao thức tín hiệu thông qua việc sử dụng các giải pháp đa lớp tối ưu, nhà mạng có thể khiến người dùng tin tưởng hơn, giảm tỉ lệ khách hàng rời bỏ sản phẩm và quan trọng nhất là bảo vệ các thiết bị di động", ông nói thêm.

Cân bằng giữa bảo mật và sự thuận tiện

Một khảo sát gần đây trên hơn 800 đại diện đến từ các tổ chức tài chính trên khắp thế giới cho thấy 24% ngân hàng phải đối mặt với việc xác định danh tính khách hàng khi giao dịch thông qua các dịch vụ trực tuyến, kỹ thuật số.

Khảo sát được tài trợ bởi Kaspersky Lab và thực hiện bởi B2B International còn cho kết quả 30% ngân hàng gặp phải các sự cố bảo mật, ảnh hưởng tới các dịch vụ ngân hàng trên Internet, và dự kiến mức gia tăng tổn thất tài chính do lừa đảo trong 3 năm tới sẽ là 59%. 38% người tham gia trả lời rằng việc cân bằng giữa các phương pháp phòng ngừa và sự thuận tiện cho khách hàng là một trong những mối quan tâm lớn nhất.

"Trong khi nghĩ tới những cách tiếp cận khác để đảm bảo các kênh giao dịch qua di động và kỹ thuật số, các ngân hàng vẫn phải tránh việc gây áp lực cho khách hàng", người đứng đầu bộ phận phòng chống lừa đảo của Kaspersky Lab Alexander Ermakovich cho biết.