A mobiltelefon szám áll a legutóbbi sikeres hekkertámadások középpontjában: az amerikai támadássorozatokban új szolgáltatóhoz hordozzák a kiszemelt számokat, melyeket a támadók saját nevükre regisztrálnak. A mobilról pedig a virtuális tárcákban tárolt kriptovalutát lopják el.
Állandó és megszokott dolog, hogy egy mobiltelefonszám hozzánk tartozik, ám mint az a The New York Times cikkéből kiderül, ezt is könnyen ellophatják tőlünk. A hekkerek egy amerikai mobilszolgáltató ügyintézőit telefonon meggyőzték arról, hogy a telefonszám hozzájuk tartozik, és egy másik szolgáltatóhoz vinnék azt át. A szolgáltató az új SIM kártyát a támadók által megadott címre postázta – innen már egyszerű volt ellopni a virtuális tárcában tárolt bitcoint: a hekkerek egyszerűen saját tárcájukba utalták át.
Közösségi oldalakon gyűjtenek adatokat
A támadók a közösségi oldalakon szemelhetik ki, kinek érdemes ellopni telefonszámát. Figyelik, hogy ki ír a kriptovalutáról, illetve megtippelik, kinek lehet hasonló befektetése. Majd internetes, céges adatbázisokból megszerzik a hozzá tartozó mobilszámot. A károsultak már per indításán gondolkodnak a mobilszolgáltatók ellen, mivel azok túl könnyen teljesítik az áthordozást.
A magyar szolgáltatóknál szigorúbb feltételei vannak a számhordozásnak, az ügy elindításához személyesen fel kell keresni egy ügyintézőt, aki személyazonosító igazolványt kér el az adatok egyeztetéséhez. Vagyis telefonos ügyfélszolgálaton keresztül nem lehet mobilszámokat hordozni, ezért nem kell számítani, hogy itthon tömegesen ellopnak mobilszámokat.
Hardveres, szoftveres tokent használjunk
A G DATA blogján egy korábbi cikkben arról írtunk, hogy a mobiltelefonra küldött, banki azonosítókat tartalmazó SMS-ek átirányíthatók egy másik mobilszámra a távközlésben használt SS7 protokoll tervezési hibája szerint. Akkor is, és most is azt javasoljuk, a kétlépcsős azonosításhoz nem a mobiltelefonszámra kellene küldeni az adatokat, hanem hardveres, vagy a Google Authenticator-hoz hasonló szoftveres tokeneket kellene használni.