Vulnerabilità in SS7 usate per prosciugare conti correnti bancari

Gli esperti di sicurezza stanno da anni evidenziando quanto l’insieme di protocolli conosciuto con l’abbreviazione SS7 (Signaling System 7) sia intrinsecamente insicuro. E nonostante tutto, SS7 continua a essere utilizzato dagli operatori di telefonia di tutto il mondo.

Sfruttando vulnerabilità di SS7 già conosciute, gli aggressori possono oggi – ad esempio – reindirizzare chiamate e SMS verso i loro dispositivi (ne abbiamo parlato negli articoli Intercettare telefonate con SS7, ecco come funziona e Spiare le conversazioni WhatsApp e Telegram con SS7 spiegando su che cosa si basano gli attacchi).

Dalla Germania arrivano le prime denunce di conti correnti bancari prosciugati proprio facendo leva sulle lacune di sicurezza di SS7.

Nei mesi scorsi, un gruppo di aggressori la cui identità è al momento del tutto ignota, è riuscito a intercettare i codici di sicurezza inviati da alcuni istituti di credito tedeschi ai loro correntisti. Si tratta dei codici utilizzati nell’autenticazione a due fattori, per l’accesso ai servizi di online banking.

L’operatore mobile O2-Telefonica ha confermato gli attacchi spiegando che le vittime sono alcuni suoi utenti.

I criminali informatici avrebbero quindi dapprima bersagliato le vittime con attacchi mirati riuscendo a sottrarre le credenziali per l’accesso sui servizi di online banking oltre ad informazioni personali come i numeri di telefonia mobile.
A questo punto hanno quindi sferrato l’attacco sui protocolli SS7 impostando il temporaneo reindirizzamento degli SMS trasmessi sull’utenza mobile della vittima verso un terminale in loro possesso.
Le operazioni sarebbero state svolte nel cuore della notte disponendo i trasferimenti di denaro all’insaputa dei legittimi proprietari.

Gli esperti non solo ribadiscono la necessità di abbandonare SS7 ma fanno presente che il sostituto, il protocollo Diameter che dovrebbe debuttare insieme con il 5G, ha evidenziato esso stesso diverse vulnerabilità.