Güvenlik araştırmacılar, mobil operatörlerin şebekesindeki “Sinyalizasyon Sistemi 7 (SS7)”, açığının kullanıcıların özel telefon görüşmelerinin dinlenmesine ve metin mesajlarının yönetilmesine izin verebileceği konusunda yıllardır uyarılar yapıyor.
Mobil operatörler ise bu ciddi sorunu sürekli olarak görmezden geliyor ve SS7 kusurlarının kapatılması önemli teknik ve finansal yatırım gerektirdiğinden, çoğu insan için çok düşük bir risk olduğunu söyleyerek geçiştiriyorlar. Ancak yeni yayınlanan bir haber tersini söylüyor. Bu habere göre, kimliği tespit edilemeyen bazı bilgisayar korsanları, yakın zamanda SS7’deki tasarım hatasını kullanarak kurbanlarının banka hesaplarını boşalttı[1].
SS7, 1980’lerde telekom firmaları tarafından oluşturulan ve AT&T ve Verizon dahil olmak üzere dünya çapında 800’den fazla telekom operatörüne, aramaları ve metinleri birbiriyle yönlendirmek, dolaşım ve diğer hizmetleri sağlamak gibi verileri birbirine bağlamak ve paylaşmak için çalışan bir telefon sinyalleşme protokolüdür. Erken dönemde tasarlanmasından kaynaklanan tasarım hataları taşır. Üstelik SS7 ile ilgili endişeler yeni de değil. Özellikle 2014’de Alman Güvenlik Araştırma Laboratuarlarında duyurduktan sonra daha da ciddi olduğu anlaşıldı.
Geçen yıl, Alman Güvenlik Araştırma Laboratuvarları’ndan Karsten Nohl, ABD Kongre Üyesi Ted Lieu’nun 60 dakikalık TV programında “SS7 saldırısını” canlı olarak gösterdi ve iPhone’unu başarılı bir şekilde ele geçirdi, aramayı kaydetti ve kesin konumunu tespit etti.
Ayrı bir gösteride, geçen yıl Positive Technologies’den araştırmacılar , hizmetler tarafından kullanılan iki faktörlü kimlik doğrulamasını atlamak için SS7’deki aynı tasarım kusurlarını kullanan WhatsApp, Telegram ve Facebook saldırıları yaptılar.
Almanya’nın O2 Telefonica’sı, son zamanlarda aynı SS7 zayıflıklarının, siber suçlular tarafından kullanıcıların banka hesaplarından yetkisiz olarak çekilmesini önlemek için kullanılan iki faktörlü kimlik doğrulama (2FA) bankalarını atlamak için kullanıldığını doğruladı . Süddeutsche Zeitung’a konuşan O2 Telefonica temsilcisi şöyle dedi :
“Suçlular Ocak ayı ortasında yabancı bir mobil şebeke operatörünün şebekesinden saldırı gerçekleştirdi. Saldırı, seçilen Alman müşterileri için gelen SMS mesajlarını saldırganlara yönlendirdi”
Yani siber suçlular, çevrimiçi bankacılık müşterilerine gönderilen iki faktörlü kimlik doğrulama kodlarına (bir defalık şifre veya OTP) müdahale etmek ve banka hesaplarını boşaltmak için SS7 açığından yararlandılar.
SS7 Hatası Nasıl Kullanılıyor
Saldırganlar ilk önce hesap sahiplerinin bilgisayarlarına bulaşmak ve banka hesaplarına giriş yapmak, hesap bakiyesini görüntülemek ve cep telefonu numaralarını görüntülemek için kullanılan şifreleri çalmak için geleneksel banka sahtekarlığı truva atlarını spam olarak gizledi. Ancak saldırganların para transferi yapmasını engelleyen şey, bankanın hesaplar arasında para transferini yetkilendirmek için çevrimiçi bankacılık müşterilerine kısa mesajla gönderilen bir defalık şifredir.
Bu sorunun üstesinden gelmek için siber dolandırıcılara daha sonra sahte bir telekom sağlayıcısından erişim satın aldı ve kurbanın telefon numarası tarafından kontrol edilen bir cihaza yönlendirme yapıldı. Özellikle, banka tarafından gönderilen OTP’leri içeren SMS’leri yönlendirmek için SS7’yi kullandılar.
Daha sonra, saldırganlar kurbanların çevrimiçi banka hesaplarına giriş yaptı ve para transfer etti, çünkü yetkilendirme kodları banka tarafından belirlenen hesap sahipleri yerine gönderilir gönderilmez, işlemi tamamlayan saldırganlar tarafından kontrol edilen numaralara yönlendirildi.
Nasıl Engellenir
SS7 saldırıları, küresel telefon ağı protokolünde tasarım ve gizlilik eksikliğini ortaya koyuyor. SS7 ağı dünya çapında kullanıldığından, sorun milyarlarca kullanıcıyı tehlikeye atıyor. Ayrıca SMS tabanlı iki faktörlü kimlik doğrulamasına güveni de ortadan kaldırıyor.
Şebeke operatörleri güvenliği düzeltmelerse, akıllı telefon kullanıcılarının yapabileceği çok az şey var. Söyleyebileceğimiz tek önlem; SMS metinleri aracılığıyla iki faktörlü kimlik doğrulaması kullanmaktan kaçının. Bunun yerine, ikinci bir kimlik doğrulama faktörü olarak şifreleme tabanlı güvenlik anahtarlarına güvenin.
[1] Schwachstelle im Mobilfunknetz: Kriminelle Hacker räumen Konten leer