Investigadors de seguretat de "Tecnologies positives" havia demostrat amb quina urgència s’ha de solucionar un defecte enorme a la xarxa mundial de telecomunicacions. En una demostració en vídeo, van mostrar com els ciberdelinqüents podrien explotar el Falla SS7 per accedir als missatges de text que contenen codis d'autenticació i robar tots els vostres fons al Moneders Bitcoin.
Les investigacions de Positive Technologies van revelar que només necessitaven el noms i cognoms i la número de telèfon del titular del compte bitcoin per comprometre el seu compte. Mentre demostraven l'atac, els investigadors positius van anar per primera vegada a Gmail per trobar un compte de correu electrònic amb només un número de telèfon. Després d'obtenir l'adreça de Gmail i el número de telèfon de l'objectiu, van iniciar una sol·licitud de restabliment de la contrasenya per al compte, que implicava enviar un codi d'autorització únic per enviar-lo al número de telèfon de l'objectiu.
Els investigadors positius van ser capaços de fer-ho intercepteu els missatges SMS que conté el codi 2FA mitjançant l'explotació de defectes de disseny coneguts a SS7 i obtenir accés al compte de Gmail. A partir d’aquí, els investigadors van anar directament al compte de Coinbase que es va registrar amb el compte de Gmail compromès i es va iniciar un altre restabliment de contrasenya, aquesta vegada, per al cartera Coinbase de la víctima. Després van iniciar la sessió a la cartera i la van buidar de criptomonedes.
Positive Technologies també ha compartit un vídeo de prova de concepte, que demostra el fàcil que és piratejar un cartera bitcoin només interceptant missatges de text en trànsit.
Mireu com els pirates informàtics van piratejar Bitcoin Wallet and Stole Fund
https://www.youtube.com/watch?time_continue=7&v=mLh1Nmqa6OM
No només les carteres de criptomonedes, aquest error posa en risc els vostres comptes bancaris i de xarxes socials. "Aquest hack funcionaria per a qualsevol recurs (moneda real o moneda virtual) que utilitzi SMS per recuperar la contrasenya". Va dir l'investigador positiu Dmitry Kurbatov.
Aquest problema sembla una vulnerabilitat a Coinbase, però no ho és. La debilitat real resideix en el propi sistema cel·lular.
"Es tracta d'una vulnerabilitat a les xarxes mòbils, que en última instància significa que és un problema per a tothom, especialment els serveis que depenen de la xarxa mòbil per enviar codis de seguretat". Dmitry Kurbatov diu.
Creat als anys vuitanta, Sistema de senyalització 7 (SS7) és un protocol de senyalització de telefonia que permet a més de 800 operadors de telecomunicacions de tot el món interconectar-se i intercanviar dades, com encaminar trucades i missatges de text, permetent la itinerància i altres serveis.
Els investigadors han advertit durant anys sobre problemes crítics amb el SS7 que podrien permetre als pirates informàtics escoltar trucades telefòniques privades i llegir missatges de text a una escala potencialment gran, malgrat el xifratge més avançat utilitzat per les xarxes mòbils. El 2014 es va informar que el Vulnerabilitat SS7 Podrien ser utilitzats per agències governamentals i actors no estatals per rastrejar els moviments dels usuaris de telèfons mòbils des de qualsevol lloc del món amb un 70% de precisió.
A principis d’aquest any, els ciberdelinqüents van utilitzar aquest defecte de disseny a SS7 per atacar els comptes bancaris de les víctimes i fer transaccions financeres interceptant el codi d’autenticació de dos factors (OTP) enviat pels bancs als seus clients i redirigint-lo a ells mateixos.
Per tant, a menys que la indústria de les telecomunicacions no prengui mesures per fer SS7 més segur, els usuaris han de prendre mesures pel seu compte. Eviteu utilitzar l'autenticació de dos factors mitjançant textos SMS per rebre codis OTP. En lloc d’això, confieu en claus de seguretat basades en criptografia com a segon factor d’autenticació. Podeu utilitzar eines com Google Autenticador, sol·licitud de Google o clau de seguretat per obtenir més seguretat.
Descarregueu el nostre Aplicació per a Android Crypto News I no us perdeu mai cap actualització.
