מתקפה מסוג חדש מאפשרת גניבת חשבונות המוגנים באימות דו-שלבי בהודעות SMS

הודעת אימות ב-SMS (צילום: רונן מנדזיצקי) הודעת אימות ב-SMS (צילום: רונן מנדזיצקי)

אתר Vice האמריקאי הציג סוג חדש של מתקפה כנגד מערכות אימות-דו שלבי 2FA (ר”ת Two-factor authentication) המתבססות על הודעות SMS, כאשר האקר איתו דיבר האתר הדגים כיצד ניתן להשתלט על מספר הטלפון של המשתמש בקלות ולנתב את כלל הודעות ה-SMS שלו על מנת לקבל גישה לחשבונות ולאתרים המתבססים על שליחת הודעות לאימות הזהות של המשתמש.

השימוש ב”גניבת מספר” על מנת לנתב מחדש ולקבל את הודעות ה-SMS של המשתמש על מנת לעקוף הגנת 2FA על חשבונות איננו דבר חדש לכשעצמו, כאשר מתקפות האלו היו מוכרות עוד קודם לכן, אך דרשו לרוב שכפול של כרטיס ה-SIM או שימוש בחולשת אבטחה בפרוטוקול ה-SS7 (ר”ת Signalling System No. 7) המשמש לניתוב הודעות באופן רגיל.

עם זאת, במתקפה מהסוג החדש לא היה צורך להעתיק את כרטיס ה-SIM של המספר ממנו רוצים לגנוב את הודעות ה-SMS או לבצע פריצה מסובכת, אלא רק לשלם תשלום זניח למדי של 16 דולר לשירות לגיטימי מקוון בשם Sakariהמיועד למשלוח וניהול הודעות SMS עסקיות, ומטרת קיומו אינה לשימושים זדוניים.

>> הצטרפו לערוץ הטלגרם של גאדג'טי

האתר יצר קשר עם האקר המזוהה תחת הכינוי Lucky225, שהדגים כיצד הוא מעתיק את מספר הטלפון של הכתב ונכנס בצורה קלה לחשבון הוואטסאפ שלו ולחשבונות נוספים ברשת, כל זאת מבלי שהכתב הבחין בשינוי כלשהו במכשיר הסלולרי שלו מלבד העובדה שהוא לא קיבל שום הודעת SMS מרגע תחילת ה”פריצה”.

באופן “מדהים” למדי, על מנת לנתב מחדש את הודעות ה-SMS לשירות המקוון של Sakari, החברה לא ביקשה שום אימות ממספר הטלפון המנותב, אלא רק אישור מקוון בשירות על זהות המשתמש ואישור שלא יבוצע שום שימוש לא-חוקי בניתוב.

בעוד שקיימים לא מעט שירותים דוגמת Sakari, למעשה לא קיים היום תקן אחיד לניתוב מספרי טלפון והודעות, כאשר הדבר מבוצע באופן פרטני בהתאם להסכמים עם חברות הסלולר עצמן וספקי שירות הודעות קיימים, כך שמדובר בפרצה “מקומית” המשתנה בין מדינות. עם זאת, לא ניתן להתעלם מקלות השיטה לצורך עקיפת האימות הדו-שלבי. במילים אחרות, הגיע הזמן להפסיק להשתמש בהודעות SMS לאימות זהות המשתמשים.

השוואת מפרטים