Telefonos trükkel csapolják a bankszámlákat, érik a botrány
Üzlet

Telefonos trükkel csapolják a bankszámlákat, érik a botrány

Portfolio
Ha azt hinnénk, az SMS-ben kapott egyszeri kódokkal megvédték a számlánkat, nagyot tévedünk: egyre több olyan esetre derül fény, amikor informatikai rendszerek vagy emberek meghackelésével mégis illetéktelen kezekbe kerülnek a biztonsági kódok. Mindezért a felelősek pedig nem a számlavezetők, hanem a távközlési vállalatok lehetnek. A napokban dőlt el, hogy megkezdődhet az AT&T telekomszolgáltatóval szemben indított 224 millió dolláros per, amely szintén egy ilyen esetről szól.



Egy amerikai szövetségi bíróság a napokban hozta meg : nem meszelik el annak a pernek a lefolytatását, amelyben egy kriptopénzes befektető követel 224 millió dollárt az AT&T telekomszolgáltatótól. Michael Terpin kriptopénzes befektetőtől még 2017-ben loptak el 24 millió dollárt egy úgynevezett SIM-swapping módszerrel, amelynek lényege, hogy a hacker egy általa birtokolt SIM-kártyára tereli át a mobil forgalmát, ezzel megszerezve a kontrollt az áldozat számlái felett.

Ugyanis ha a hackernél lévő telefonra érkezik a kétfaktoros azonosításban használt egyszeri kód, akkor ezt a biztonsági réteget egy pillanat alatt feltörték a módszerrel, vagy ha a telefonra kérhető egy kriptopénzes számla új jelszava, akkor máris hozzáférnek ehhez. Előbbinél persze például a netbanki jelszó is szükséges egy bankszámla feltöréséhez, utóbbinál viszont elég, ha csak a SIM-cserét végrehajtják, máris el lehet emelni a kriptopénzt.

Terpin az AT&T-t több jogszabálysértéssel is vádolja, az ellopott 24 millió dollár megtérítése mellett 200 millió dollárnyi kártérítést követel. Az ügyet először tavaly augusztusban nyitották meg, melyben Terpin az AT&T ügyfélszolgálati munkatársának felelősségét firtatja. A pénzét ellopó hacker megtévesztette az AT&T munkatársát, Terpinnek adta ki magát, így vette át az uralmat a telefonja forgalma felett. Terpinnél ez már a második eset volt, hogy így kopasztották meg, ezért kifejezett kérése volt a telekomszolgáltató felé, hogy esetében a SIM-swap eshetőségére különösen figyeljenek, mégis megtörtént a baj.

Az egyik SIM-es hacker kétszer is lebukott

Tavaly novemberben írtunk arról, a 21 éves Nicholas Trugila a 26 éves Robert Ross Coinbasenél és Gemininél vezetett kriptotárcájához fért hozzá úgy, hogy megszerezte az illető SIM-adatait. A csaló kifigyelte, melyik szolgáltatónál vezeti előfizetését a cégvezér, majd felhívta a telefontársaságot és magát Robert Rossnak kiadva arra kérte a szolgáltatót, hogy számát vezesse át egy másik SIM-kártyára. A telefonszámmal a birtokában Trugila hozzáférést nyert Ross appjaihoz és kriptotárcáihoz is, utóbbiból 1 millió dollárnyi összeget emelt el.

A bűnözőt elkapták a hatóságok és 21 vádpontot emeltek ellene, többek közt csalással és személyazonosság-lopással vádolják. Az elemelt egymillió dolláros összegből viszont csak 300 ezer dollárnyit tudtak visszaszerezni a hatóságok. Michael Terpin mindezek után szintén perbe fogta az egyszer már elítélt Trugliát, és meg is nyerte azt: a 21 éves elkövetőnek 75 millió dollárt kellene kifizetnie Terpinnek. A SIM-swapping egyre népszerűbb csalás az Egyesült Államokban: tavaly például Yiliang "Doublelift" Peng, egy profi League of Legends játékos vált a trükk áldozatává, akitől 200 ezer dollárnyi kriptopénzt emeltek el.

Amikor az informatikai rendszert hackelik meg

2017 májusában egy másik módszerrel, de szintén az SMS-ben kapott kód kijátszására derült fény egy Németországban kirobbant ügyben: az egyik legnagyobb európai telekomszolgáltató meghackelésével bankszámlákat tudtak megcsapolni ismeretlen csalók Németországban. Az ügyben a legijesztőbb az, hogy mindezt egy legalább 3 éve ismert sérülékenységet kihasználva tették, ráadásul nem csak a most érintett O2 telekomcégnél jelenthet ez problémát.

Létezik egy kommunikációs protokoll, amelyet a telekommunikációs szolgáltatók még az 1980-as években fejlesztettek ki, és a mai napig használnak, ezt hívják Signaling System 7-nek (SS7). Ez a protokoll teszi lehetővé, hogy a távközlési szolgáltatók egymás között jelet, üzeneteket tudjanak továbbítani, vagyis pl. egy telekomos ügyfél fel tudjon hívni egy telenorost, ezáltal a rendszerek átjárhatóak legyenek.

2014-ben IT-biztonsági kutatók bemutatták, hogy ezt a protokollt könnyen fel lehet törni, és aki egyszer bejut a rendszerbe, az gyakorlatilag bármelyik távközlési cégnél a világon hívásokat és SMS-eket tud eltéríteni vagy lehallgatni, és például azt is meg tudja nézni, egy adott ügyfél éppen hol tartózkodik.

Az egyik legnagyobb németországi telekomszolgáltatónál, az O2-nél elismerték, hogy több ügyfelüktől a banki tranzakciókat megerősítő SMS-eket szerezték meg ennek a rendszernek a feltörésével az elmúlt hónapokban.

A hackerek első körben adathalász módszerrel megszerezték a célpontok banki azonosítóit, egyenlegét és mobilszámát, majd a magukhoz átirányított SMS-ekkel rendszerint az éjjel közepén már könnyen elutalták a pénzt a bankszámláról.

A távközlési cégek már dolgoznak egy új üzenetküldő protokollon (ennek neve Diameter), amely felválthatja az említett SS7-et, azonban amerikai állami kiberbiztonsági szakértők szerint ennek is vannak sérülékenységei.

(Coindesk)
Frankfurt Stock Exchange
Barna Tamás, a Republic Group ügyvezetője
shutterstock_589452071
készház, faház
posterminal_bankkartya
Gyorgy Matolcsy
HUNGARY - NOVEMBER 17:  Hungarian Forint notes of differing denominations (Photo by Balint Porneczi/Bloomberg via Getty Images)
Népszerű
Friss hírek TÖBB FRISS HÍR
2019. szeptember 25.
Követeléskezelési trendek 2019
2019. október 1.
Öngondoskodás 2019
2019. október 16.
Budapest Economic Forum 2019
2019. október 17.
Portfolio-MAGE Ipar 4.0 konferencia 2019
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Infostart.hu

Szerkesztő-újságíró

Szerkesztő-újságíró
Online kurzus
Akár 100 000 Ft-al elkezdhető, hosszú távú megtakarítási módszer.
Tőzsdetanfolyam
Légy tudatos a pénzügyeidben, vedd a saját kezedbe az irányítást.
Frankfurt Stock Exchange