狼真来了!黑客利用SS7漏洞将网银用户洗劫一空

简介:

手机网络用来相互通信的7号信令系统(SS7)协议,多年来安全漏洞频发。这些缺陷若被滥用,后患无穷。比如说,用来将用户的电话和短信重定向到恶徒的设备。如今,利用SS7设计缺陷掏空受害者钱包的首个案例,终于出现了。

《南德意志报》得到西班牙电信德国子公司O2证实,该公司客户的银行账户遭到SS7漏洞利用攻击。

换句话说,盗贼利用SS7窃听发送给网银客户的双因子验证码,然后借之将账户上的资金搜刮一空。多个消息来源印证,盗窃案在过去几个月里时有发生。

2014年,研究人员就证明了,电信公司在80年代开发来让蜂窝网络和固话网络互连通信的SS7,从设计上就存在缺陷。能从内部访问电信公司的人,比如黑客或者心怀鬼胎的员工,可以通过SS7访问全球其他运营商的后端,追踪手机位置,读取或重定向消息,甚至监听通话。

本案例中,攻击者利用了德国银行双因子身份验证系统的交易认证号。网银客户转账需要用到发送到他们手机的一个验证码,没有该验证码,资金就不能在账户间流转。

黑客先向受害者电脑植入恶意软件,收集银行账户余额信息、登录信息和账户口令,以及手机号码。然后,他们购得流氓电信提供商访问权,将受害者手机号重定向到自己掌控的另一部手机。

接下来,在人们进入梦乡的午夜,攻击者登录受害者网银账户,将钱转走。因为事先重定向了受害者手机号,交易认证号便被发送到了攻击者掌控的手机上,绕过受害者完成了资金转移。

虽然安全专家一直在警告此类攻击,政客也总是在该问题上烦不胜烦地叨叨叨,电信公司却在该问题的处理上冷漠以对。普遍的观点是,要拿下电信公司才能发起攻击,什么公司那么弱会让自己被这么利用啊?

这套观点80年代或许还能站住脚,但今天,几乎任何人都能成立电信公司,或者购买某家电信公司后端访问权。更糟的是,美国联邦通讯委员会通信安全、可靠性和互操作性理事会表示:5G网络上用来代替SS7的提案——Diameter协议,同样存在安全漏洞。

这第一起公开证实的攻击,有望激活SS7漏洞修复工作,至少在德国处于主导位置的欧洲是如此。置于美国,要让电信公司的尊臀动起来,恐怕还得一系列的SS7攻击刺激一下

目录
打赏
0
0
0
0
16
分享
相关文章
【工具使用】Pystinger(毒刺)的使用
一款用于Webshell实现内网 socks4 代理、端口映射的工具,可直接用于CobaltStrike / Metasploit上线,该工具使用python语言编写,目前支持的语言有 php, jsp(x) 和 aspx 三种脚本语言。
497 0
node连接mysql,并实现增删改查功能
【8月更文挑战第26天】node连接mysql,并实现增删改查功能
319 3
社区团购|生鲜团购|基于Springboot+Vue实现前后端分离社区团购
社区团购|生鲜团购|基于Springboot+Vue实现前后端分离社区团购
324 0
一文彻底搞懂什么是SSH中间人攻击(Man-in-the-middle attack)
服务器重新安装之后,ssh无法连接,提示中间人攻击(man-in-the-middle-attack)。之前也遇到过,按照网上的操作能解决,但是一知半解,今天趁此把该问题消化掉。
3735 0
`/var/log/wtmp` 和 `/var/run/utmp`日志详解
`/var/log/wtmp` 和 `/var/run/utmp` 是Unix/Linux系统中记录用户登录信息的关键文件。`wtmp` 文件存储所有登录和注销事件,供 `last` 命令显示登录历史,而 `utmp` 文件实时更新,记录当前登录用户信息,可由 `who` 或 `w` 命令解析展示。两者皆为root用户访问,系统重启可能清空,且常受安全措施保护,用于系统管理和安全审计。
953 1
陪玩系统功能 陪玩平台 陪玩系统用户体验 陪玩系统安全性 陪玩系统开发
陪玩系统旨在为用户寻找合适的陪玩者,提供注册登录、资料展示、搜索匹配、预约支付、实时沟通及评价反馈等功能。平台拥有丰富的陪玩资源,便捷的预约流程,安全的支付环境和良好的用户体验。系统通过优化算法、提升沟通效率、丰富服务内容和建立社区互动来提升用户体验。安全性方面,系统采用数据加密、防火墙、支付安全和实名认证等措施。开发过程包括需求分析、系统设计、前后端开发、测试优化和上线推广。
755 2
探索未来编程语言的发展趋势与挑战
随着科技的迅猛发展,编程语言也在不断演变。本文将探讨未来编程语言的发展趋势及面临的挑战,涵盖了人工智能、区块链、量子计算等前沿技术领域,以及如何应对未来编程语言的发展趋势进行探索。
工会成立100周年纪念,开发职工健身AI运动小程序、APP方案推荐
为庆祝中华全国总工会成立100周年,特推出基于AI技术的智能健身系统,以小程序和APP形式呈现,助力职工健康生活。方案包括:1) 小程序插件,支持多种运动识别,开箱即用;2) APP插件,提供更高精度的运动检测;3) 成熟的「AI乐运动」系统,支持赛事活动管理。这些方案满足不同需求,推动全民健身体验升级,彰显工会对职工健康的关怀。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等