De fleste nettbanker, både i Norge og utlandet, har tatt i bruk to-trinns autentisering ved innlogging for mange år siden. De senere år har mange andre typer tjenester kommet etter.
Som oftest må brukerne eller kundene da benytte en engangskode i tillegg til brukernavn og passord, men det er store forskjeller på hvor sikkert disse engangskodene blir levert.
Denne uken ble det kjent at kriminelle hackere har greid å tappe penger fra i alle fall tyske bankkonti ved å omdirigere utsendelsen av SMS-er med engangskoder til bankkunder. Formelt kalles disse kodene for MTAN (Mobile Transaction Authentication Numbers).
Det var Süddeutsche Zeitung som først skrev om denne saken.
Les også: Arresterte hackergruppe som svindlet banker for millioner
SS7 får skylden
Hackerne skal fra før ha skaffet seg tilgang til kontoeiernes mobilnummer, brukernavn og passord ved hjelp av spionvare på bankkundenes datamaskiner. Men engangskodene sendes til kundens mobiltelefon.
Ifølge den tyske avisen skal hackerne ha greid å utnytte sårbarheter i SS7 (Signalling System No. 7), det flere tiår gamle systemet som mobiloperatørene er avhengige av til signalering i nettet, til å dirigere om hvor SMS-en med MTAN-kodene har blitt sendt.
I alle fall i de tyske tilfellene skal nettbankene tilsynelatende ikke ha bedt om engangskoder i forbindelse med selve innloggingen, men kun for å bekrefte transaksjonene.
Les også: «Ingen kan fullgodt hindre misbruk» av sårbare protokoller fra 70-tallet
Uærlige operatører
I mange land er det strenge krav til hvem som får tilgang til mobilnettet, men det finnes unntak. Ifølge Süddeutsche Zeitung er det mulig i «gråmarkedet» å kjøpe seg slik tilgang for under tusen euro.
Mobiloperatøren O2-Telefonica skal ifølge den tyske avisen ha bekreftet at det inntil nylig var mulig med slik omdirigering av mobiltrafikk i Tyskland.
– Et kriminelt angrep fra nettverket til en fremmed leverandør førte i januar til at innkommende SMS-er til utvalgte numre i Tyskland ble uautorisert videresendt, forteller O2-Telefonica til Süddeutsche Zeitung.
I praksis er det liten grunn til at slik omdirigering skal kunne aktiveres av andre enn kundens egen mobiloperatør. Ifølge en sikkerhetsekspert Süddeutsche Zeitung har snakket med, kan operatørene blokkere at dette kan gjøres av tredjeparter.
Operatøren som skal ha blitt benyttet av hackerne i dette tilfellet, skal ha blitt blokkert.
Også SS7: Forsøkte å kartlegge Telenor for sårbarheter, så knelte mobilnettet
Skuffende
Den tyske sikkerhetsforskeren Karsten Nohl stod i 2014 i spissen for avsløringene av svakhetene som preger SS7.
– De med greie på en myriade av funksjoner som er innebygget i SS7, kan lokalisere mobiltelefoner hvor som helst i verden, avlytte samtalene deres i sanntid eller lagre hundrevis av krypterte samtaler og meldinger på direkten, for senere å dekryptere det, hevdet forskerne den gang.
– Hele bransjen ønsker å løse dette problemet, men det er skuffende at det har tatt så mange år og at det måtte finansielt skadeverk til før det ble gjort noe, sier Nohl til Süddeutsche Zeitung.
Les også: Trengte bare mobilnummeret for å avlytte kongressmedlem