您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

駭客利用SS7協定漏洞破解雙因素認證

開發於上世紀70年代的電話網絡(PSTN)通訊協議第七號發信系統(Signaling System Number 7, SS7),90年代後被電信業廣泛採用。許多安全研究顯示,SS7存在一個安全漏洞,來自世界各地的人都能利用該漏洞追蹤用戶的通話紀錄,同時還能獲得存取電話和簡訊的權限。在德國營運的西班牙電信(O2-Telefonica)近日向德國媒體Süddeutsche Zeitung披露,其部分客戶由於SS7協議漏洞,被駭客截取了雙因素驗證簡訊,導致客戶帳戶被盜領一空。

在德國,網路銀行用戶在交易前需要通過電信業者發送簡訊驗證碼進行確認。這給了駭客利用SS7漏洞的機會。駭客首先向受害者的電腦發送垃圾郵件植入惡意軟體,收集銀行帳戶餘額、登錄訊息、帳號密碼以及手機號碼等資料。然後駭客通過服務購買的方式接入一家可利用SS7協議漏洞的流氓電信收發系統平台,從而將發送至受害者手機號碼的消息轉發至由攻擊者所控制的手機。最後,這些黑客於夜間登錄受害者銀行帳戶,利用SS7漏洞取得銀行傳送給手機用戶的行動交易認證碼(mobile transaction authentication number,mTAN),將手機用戶帳戶中的金額全數轉出。目前已有許多西班牙電信的用戶受害。

這是第一起利用SS7協議漏洞所進行的大規模攻擊活動。由於SS7廣受全球電信業者的支援,因此相關攻擊行動的風險也是全球性的。美國民主黨眾議院議員Ted Lieu在得知此事後旋即發表聲明,表示只要受到基於文字之雙因素認證保障的帳號皆曝露在風險中,他將督促國會立即舉辦聽證會以要求電信產業及聯邦通訊委員會(Federal Communications Commission , FCC)修補此一問題。

Reference

資料來源:
https://arstechnica.com/security/2017/05/thieves-drain-2fa-protected-bank-accounts-by-abusing-ss7-routing-protocol/
http://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504
https://lieu.house.gov/media-center/press-releases/rep-lieu-statement-hackers-draining-bank-accounts-ss7-flaw
http://www.ithome.com.tw/news/113893
國家資通安全會報技術服務中心整理

Publish Date
2017/5/24 0:00:00