Přenesení čísla a útok na uživatele internetového bankovnictví

V souvislosti s nedávno publikovaným útokem na klienta internetového bankovnictví australské Commonwealth Bank, který pro přístup ke svému účtu používal dvoufaktorovou autentizaci, nás pochopitelně zajímalo, jakým způsobem útok proběhl, a zda by ho někdo nemohl realizovat i zde v ČR. Útok byl v podstatě velice primitivní a spočíval v tom, že útočník požádal jménem oběti o přenos telefonního čísla od společnosti Vodafone k jinému operátorovi, u kterého si zřídil za tímto účelem účet. Po ověření požadavku byl přenos telefonního čísla po 30 minutách proveden a číslo bylo aktivováno v síti jiného operátora.

Útočník se následně přihlásil do internetového bankovnictví (přihlašovací údaje získal prostřednictvím malwaru, který se nacházel na laptopu oběti) a následně provedl transakci ve výši 45.000 australských dolarů, kterou potvrdil pomocí jednorázového kódu, který mu byl zaslán bankou na jeho mobilní telefon. Vzhledem k tomu, že se jednalo o poměrně velkou částku, došlo zároveň k vygenerování alarmu systémem pro detekci podvodů (Fraud Detection Systém, zkr. FDS) a po třech neúspěšných pokusech telefonicky klienta kontaktovat, došlo z preventivních důvodů k zablokování účtu, a další transakce tak již nemohly být provedeny.

Zdá se, že banka v tomto případě splnila vše, co je doporučováno v dodatkupříručce Authentication in an Internet Banking Environment, který vydal FFIEC. Z publikované zprávy nicméně není zřejmé, na jaké mobilní číslo se banka snažila klientovi dovolat, zda na stejné na jaké mu předtím zaslala autorizační SMS, nebo na jiné. V případě, že by se jednalo o číslo, na které byla klientovi zaslána autorizační SMS, postrádá toto ověření trochu smysl, protože útočník mohl stejně tak hovor přijmout a transakci potvrdit. A pokud daná banka není schopna ověřit klienta podle hlasu, podobně jako to dělá National Australia Bank, nemá moc možností jak zjistit, že nehovoří s útočníkem.

Možnost požádat o přenos telefonního čísla k jinému operátorovi a povinnost vyhovět tomuto požadavku je definována v zákoně a jeho smyslem je zvýšení konkurence a tím i kvality poskytovaných služeb. V Austrálii je tato služba poskytována od roku 2001 (podmínky definuje C570:2009 Australian Communications and Media Authority) a v Česku pak od roku 2006 (zákon č. 127/2005 Sb. o elektronických komunikacích, kdy přesné podmínky přenositelnosti ještě upravuje předpis ČTÚ). Přenos telefonního čísla je v našich krajinách realizován v řádu dnů nebo týdnů.

Aby mohlo k přenosu telefonního čísla dojít, musí žadatel nejprve kontaktovat operátora, ke kterému chce přejít a oznámit mu jaké telefonní číslo chce přenést. Od operátora obdrží jedinečný kód, který sdělí opouštěnému operátorovi. Operátoři se mezi sebou dohodnou, kdy k přenosu telefonního čísla dojde, a nový operátor vystaví žadateli novou SIM kartu, která je aktivována maximálně do několika hodin poté, co dojde ke zrušení telefonního čísla u opouštěného operátora. Je zřejmé, že oprávněnému uživateli v okamžiku přenosu telefonního čísla k jinému operátorovi přestane jeho číslo fungovat, nicméně útočník je schopen použít metod sociálního inženýrství a oběť přesvědčit, že např. došlo k nějaké technické závadě, a že se na jejím odstranění pracuje, a tím získat potřebný čas. Tak tomu bylo ostatně i v tomto případě.

Ověření žadatele o přenos telefonního čísla k jinému operátorovi je klíčové, protože v okamžiku, kdy by o přenos telefonního čísla požádala neoprávněná osoba a jejímu požadavku by bylo vyhověno, mohl by oprávněný uživatel utrpět značnou škodu, jejíž výše by se odvíjela od toho, k čemu všemu svůj telefon používá. V tomto případě stačilo útočníkovi zodpovědět několik jednoduchých otázek, jako je zákaznické číslo a datum narození. Australské banky navíc mají možnost se od roku 2009 připojit k databázi obsahující přenesená telefonních čísla a využít těchto informací v rámci svých FDS. Je zvláštní, že této možnosti plně nevyužívají.

Je zřejmé, že pokud by ověření žadatele o přenos telefonního čísla probíhalo jen výše uvedeným způsobem, mohl by útočník snadno požádat o přenos telefonního čísla k jinému operátorovi.

Na náš dotaz nám zaměstnanec operátora sdělil, že požadují, aby se žadatel o přenos telefonního čísla osobně dostavil na jejich pobočku a předložil občanský průkaz. V případě, že o přenos telefonního čísla požádá klient písemně, je ověřen jeho podpis nebo je případně kontaktován na telefonním čísle, které ve své žádosti uvedl, tedy i na jiném, než o jaké žádá. Netřeba snad dodávat, že i kdyby těch způsobů, jak může klient o přenos telefonního čísla požádat, bylo více a probíhalo by tam i bezpečnější ověření, tak útočník bude volit ten nejjednodušší způsob.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. peto

    Hoci došlo k prevodu, nie sú útočníci v takýchto prípadoch ľahko vystopovateľní podľa ich účtu?

  2. Marek Staněk

    Hm, takže banka evidentně jela přes obyčejné SMS v otevřeném tvaru. Kdyby používala SIMtoolkitem šifrované SMS, kde je jedním z faktorů klíče výrobní číslo SIMkarty, byl by útočník kde, Kefalín?


K článku “Přenesení čísla a útok na uživatele internetového bankovnictví” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: