Přenesení čísla a útok na uživatele internetového bankovnictví

V souvislosti s nedávno publikovaným útokem na klienta internetového bankovnictví australské Commonwealth Bank, který pro přístup ke svému účtu používal dvoufaktorovou autentizaci, nás pochopitelně zajímalo, jakým způsobem útok proběhl, a zda by ho někdo nemohl realizovat i zde v ČR. Útok byl v podstatě velice primitivní a spočíval v tom, že útočník požádal jménem oběti o přenos telefonního čísla od společnosti Vodafone k jinému operátorovi, u kterého si zřídil za tímto účelem účet. Po ověření požadavku byl přenos telefonního čísla po 30 minutách proveden a číslo bylo aktivováno v síti jiného operátora.

Útočník se následně přihlásil do internetového bankovnictví (přihlašovací údaje získal prostřednictvím malwaru, který se nacházel na laptopu oběti) a následně provedl transakci ve výši 45.000 australských dolarů, kterou potvrdil pomocí jednorázového kódu, který mu byl zaslán bankou na jeho mobilní telefon. Vzhledem k tomu, že se jednalo o poměrně velkou částku, došlo zároveň k vygenerování alarmu systémem pro detekci podvodů (Fraud Detection Systém, zkr. FDS) a po třech neúspěšných pokusech telefonicky klienta kontaktovat, došlo z preventivních důvodů k zablokování účtu, a další transakce tak již nemohly být provedeny.

Zdá se, že banka v tomto případě splnila vše, co je doporučováno v dodatkupříručce Authentication in an Internet Banking Environment, který vydal FFIEC. Z publikované zprávy nicméně není zřejmé, na jaké mobilní číslo se banka snažila klientovi dovolat, zda na stejné na jaké mu předtím zaslala autorizační SMS, nebo na jiné. V případě, že by se jednalo o číslo, na které byla klientovi zaslána autorizační SMS, postrádá toto ověření trochu smysl, protože útočník mohl stejně tak hovor přijmout a transakci potvrdit. A pokud daná banka není schopna ověřit klienta podle hlasu, podobně jako to dělá National Australia Bank, nemá moc možností jak zjistit, že nehovoří s útočníkem.

Možnost požádat o přenos telefonního čísla k jinému operátorovi a povinnost vyhovět tomuto požadavku je definována v zákoně a jeho smyslem je zvýšení konkurence a tím i kvality poskytovaných služeb. V Austrálii je tato služba poskytována od roku 2001 (podmínky definuje C570:2009 Australian Communications and Media Authority) a v Česku pak od roku 2006 (zákon č. 127/2005 Sb. o elektronických komunikacích, kdy přesné podmínky přenositelnosti ještě upravuje předpis ČTÚ). Přenos telefonního čísla je v našich krajinách realizován v řádu dnů nebo týdnů.

Aby mohlo k přenosu telefonního čísla dojít, musí žadatel nejprve kontaktovat operátora, ke kterému chce přejít a oznámit mu jaké telefonní číslo chce přenést. Od operátora obdrží jedinečný kód, který sdělí opouštěnému operátorovi. Operátoři se mezi sebou dohodnou, kdy k přenosu telefonního čísla dojde, a nový operátor vystaví žadateli novou SIM kartu, která je aktivována maximálně do několika hodin poté, co dojde ke zrušení telefonního čísla u opouštěného operátora. Je zřejmé, že oprávněnému uživateli v okamžiku přenosu telefonního čísla k jinému operátorovi přestane jeho číslo fungovat, nicméně útočník je schopen použít metod sociálního inženýrství a oběť přesvědčit, že např. došlo k nějaké technické závadě, a že se na jejím odstranění pracuje, a tím získat potřebný čas. Tak tomu bylo ostatně i v tomto případě.

Ověření žadatele o přenos telefonního čísla k jinému operátorovi je klíčové, protože v okamžiku, kdy by o přenos telefonního čísla požádala neoprávněná osoba a jejímu požadavku by bylo vyhověno, mohl by oprávněný uživatel utrpět značnou škodu, jejíž výše by se odvíjela od toho, k čemu všemu svůj telefon používá. V tomto případě stačilo útočníkovi zodpovědět několik jednoduchých otázek, jako je zákaznické číslo a datum narození. Australské banky navíc mají možnost se od roku 2009 připojit k databázi obsahující přenesená telefonních čísla a využít těchto informací v rámci svých FDS. Je zvláštní, že této možnosti plně nevyužívají.

Je zřejmé, že pokud by ověření žadatele o přenos telefonního čísla probíhalo jen výše uvedeným způsobem, mohl by útočník snadno požádat o přenos telefonního čísla k jinému operátorovi.

Na náš dotaz nám zaměstnanec operátora sdělil, že požadují, aby se žadatel o přenos telefonního čísla osobně dostavil na jejich pobočku a předložil občanský průkaz. V případě, že o přenos telefonního čísla požádá klient písemně, je ověřen jeho podpis nebo je případně kontaktován na telefonním čísle, které ve své žádosti uvedl, tedy i na jiném, než o jaké žádá. Netřeba snad dodávat, že i kdyby těch způsobů, jak může klient o přenos telefonního čísla požádat, bylo více a probíhalo by tam i bezpečnější ověření, tak útočník bude volit ten nejjednodušší způsob.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky: ,

  1. peto

    Hoci došlo k prevodu, nie sú útočníci v takýchto prípadoch ľahko vystopovateľní podľa ich účtu?

  2. Marek Staněk

    Hm, takže banka evidentně jela přes obyčejné SMS v otevřeném tvaru. Kdyby používala SIMtoolkitem šifrované SMS, kde je jedním z faktorů klíče výrobní číslo SIMkarty, byl by útočník kde, Kefalín?


K článku “Přenesení čísla a útok na uživatele internetového bankovnictví” se zde nachází 2 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: