Objavil sa nový, extrémne nebezpečný útok využívajúci SMS správy. Pre obeť je takmer neviditeľný a s nesmierne veľkým potenciálom narobiť veľké škody. Najhoršie na tom je to, že takéto praktiky sú relatívne bežné a nevedomky sprostredkované operátormi. Sú možné aj na Slovensku? Možno.
Útoky sú možné vďaka službám určeným pre podniky, umožňujúcim potichu presmerovať SMS správy obetí smerom k útočníkom. Vďaka tomu získavajú napríklad prístup ku kódom z dvojstupňového overenia či ku odkazom pre prihlásenie, ktoré môžu inštitúcie zasielať cez SMS správy.
Ako server The Verge upozorňuje, niekedy služby zodpovedné za presmerovanie správ nezašlú majiteľovi telefónneho čísla ani potvrdzovaciu správu o tom, že všetky SMS správy skončia v úplne inej schránke. Vďaka tejto službe môžu útočníci nielen prijímať správy, môžu aj zasielať odpovede.
S overením funkčnosti útoku prišiel Joseph Cox zo servera Motherboard, ktorý úspešne vykonal útok na svoje vlastné číslo. Stálo ho to celých 16 dolárov (13,42 €). Keď kontaktoval viaceré služby ponúkajúce podobné služby, potvrdili mu, že sa už stretli s takýmto typom útoku.
SMS by nemali slúžiť na verifikáciu
„Toto je nová vec, o ktorej sa ešte nahlas nerozprávalo a len to potvrdzuje, že SMS by nemali slúžiť na 100 % verifikáciu používateľa. Tento typ útoku opäť len potvrdzuje, že SMS správam sa nedá vždy veriť v prípade overenia používateľa. Ako náhradu je bezpečnejšie používať softvérové alebo hardvérové generovanie kľúčov namiesto tých, ktoré prichádzajú v SMS správe,“ povedal bezpečnostný expert spoločnosti ESET Lukáš Štefanko.
Toto je nová vec, o ktorej sa ešte nahlas nerozprávalo a len to potvrdzuje, že SMS by nemali slúžiť na 100 % verifikáciu používateľa.
Lukáš Štefanko, bezpečnostný expert v spoločnosti ESET
Využívanie SMS správ pre zabezpečenie akéhokoľvek účtu preto nie je úplne rozumný nápad. Ak sa útočník dostane k odkazu na resetovanie hesla alebo k odkazu na prihlásenie (napr. v prípade WhatsApp a ďalších), môžete prísť o citlivé údaje alebo dokonca peniaze. A to by si neželal nikto.
Odporúčaným spôsobom ako si chrániť heslá aj naďalej ostávajú služby ako Google Authenticator či 1Password. Spoločnosti postupne opúšťajú SMS správy ako spôsob zabezpečenia účtu. Pekným príkladom je prechod na push notifikácie pri bankovom sektore. Mnohé firmy sa však stále držia správ, čo nie je ideálny spôsob ako ochrániť svojich zákazníkov.
TECHBYTE.sk oslovil štyroch najväčších slovenských operátorov so žiadosťou o komentár. Ich odpovede zverejníme hneď, ako nám budú dodané.