בואו לגלות את עמוד הכתבה החדש שלנו
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

איך גניבה מבנקים בגרמניה עלולה להשפיע על חשבונות הפייסבוק וגוגל שלכם

אחרי שנים שמומחי אבטחה מזהירים מפני פרצות במערכות הטלפוניה העולמיות, בשבוע שעבר דווח בגרמניה לראשונה כי האקרים הצליחו לנצל אותן לגניבת פרטי התחברות, שכולנו האמינו שהם מאובטחים

4תגובות

אחת ההמלצות הקבועות של מומחי אבטחה כשזה מגיע להתחברות לשירותים שונים היא - השתמשו באימות דו שלבי. כלומר, התחברות בעזרת ססמה וכלי אימות נוסף ששולח אליכם קוד זמני. יש כמה דרכים לייצר ולשלוח אותו, ואחת הפופולרית שבהן היא משלוח של הקוד הזמני באמצעות SMS. בשבוע שעבר הוכיח דיווח בגרמניה כי לשיטה הזאת יש בעיה חמורה עם שורשים עמוקים.

הסיפור הפעם מגיע מהעיתון זידוייטשה צייטונג שדיווח כי פושעים הצליחו לגנוב פרטים וכסף של לקוחות בנקים על ידי ניצול פרצות שהיו כבר שנים ידועות ב-SS7 - שיטה שבה מרכזיות של חברות טלפון שונות מתקשרות ביניהן כבר מאז שנות ה-70.

חוקר האבטחה טל בארי הגדיר את SS7 ה"אינטרנט של המרכזיות". הוא הסביר ל"הארץ" כי מדובר בהודעות דיגיטליות שיכולות תיאורטית להעביר כל מידע. "רוב הערוצים משמשים להעברת האודיו וחלק קטן משמש להעברת הודעות (התחילה שיחה למספר, הסתיימה שיחה, וכו'). מכיוון שניתן להתקשר מכל מקום לכל מקום נוצרה רשת עולמית שיודעת לנתב הודעות בין כל מרכזיה לכל מרכזיה".

היתרונות של התקן התגלו בשנות ה-90 עם הכניסה של חברות הסלולר. "נוצר צורך להעביר הודעות נוספות בין מרכזיות: מנוי נמצא תחת מרכזיה X כי סלולרי הוא נייד, נשלח SMS למנוי וכו'", הוא סיפר. "בגלל שהתקן הוא כללי ניתן היה להגדיר הודעות חדשות שיגיעו לכל מקום בעולם. מה שחשוב מאד לסלולר בגלל הנושא של הסכמי נדידה בין רשתות של חברות". התקן אף זכה ליכולות נוספות החל משנות ה-2000 כאשר עלתה הדרישה לחבר את הרשת לשירותים אינטרנטיים נוספים כמו VOIP והודעות.

כסף סמארטפון פנסיה
רויטרס רויטרס

אבל, כמו באינטרנט והפרוטוקולים שנולדו בימיו הראשונים, גם פה לא הוקדשה יותר מדי מחשבה לענייני אבטחה, וזה מה שאפשר לתוקפים לנצל את הפרוטוקול. התוקפים השתמשו בשילוב של פישינג שאפשר להם להדביק את מכשירי המשתמשים בתוכנה זדונית והסיטו את התקשורת הסלולרית שלהם עם הבנק כדי להיכנס לחשבון שלהם .  "הם יכולים להכריז שמנוי מסוים עשה roaming אליהם ואז השיחות והודעות הטקסט שלו מנותבים אל ה'מרכזיה' שלהם. במקרה הגרמני, התוקפים השיגו כך אס-אם-אסים שמשמשים לאימות דו שלבי לצורכי העברה בנקאית", הסביר בארי.

חברת התקשורת הגרמנית O2-Telefonica, שנפגעה מהתקיפה, אישרה בתגובתה לזידוייטשה צייטונג כי כמה מלקוחותיה נפלו קורבן וכסף נגנב מחשבונות הבנק שלהם. החברה ציינה כי היא חסמה את המפעילה הסלולרית שדרכה בוצעה הגניבה ומנעה את האפשרות לתקיפה נוספת כזו.

כמו במקרים רבים אחרים, גם פה לא מדובר בבעיה לא ידועה. הבעיות בפרוטוקול זכו לכמה וכמה דיווחים בשנים האחרונות, לדוגמה במחקר מ-2014. למרות זאת, חברות הטלפוניה עדיין לא מיהרו לתקן את הבעיות. "זו בעיה שלא קל לתקן, והיא נובעת מהאופן שבו תכננו את הפרוטוקול", הסביר בארי. "שנית, על מנת לתקן חברות הטלפוניה צריכות להשקיע כסף. הם יעשו את זה רק אם הרגולטור יחייב אותם, או לחלופין הצרכנים יעזבו אותם. אולי כשהבעיה מתחילה להשפיע בצורה ממשית, אחד מהגורמים האלה יתעורר ויגרום לחברות הטלפוניה להתייחס לנושא".

למעשה, בארי ציין כי כבר בשנה שעברה ארגון התקינה האמריקאי (NIST) הכריז כי SMS לא יכול לשמש כאמצעי אימות זהות בעתיד. עם זאת, הוא ציין שלא מדובר בתקיפה טריוויאלית, והיא דרשה תשתית והכנה מרובה.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות
*#
בואו לגלות את עמוד הכתבה החדש שלנו