SMS-autentisering kan knekkes

SMS-autentisering kan knekkes

I en ny rapport hevder NSS-labs at SMS ikke er sikkert nok.

Tofaktorautentisering for innlogging er antatt å bli en vanligere måte å sikre innlogging og signere for belastninger for netthandel. Det innebærer at en kode som varer noen minutter sendes til eieren av et kredittkort eller konto registrerte mobiltelefon.

Din personlige usikre kompis

Denne tofaktorgodkjenningen skal sikre at selv om noen får tak i brukernavn og passord, eller kredittkort med sikkerhetskode så må de ha mobiltelefonen også. Kort varighet skal sikre at koden fort blir verdiløs. Mobiltelefonen anses som så personlig at de fleste alltid har den med seg, hvor de enn er.

Onsdag rapporterte NSS Labs at denne sikkerheten kan brytes for Android-telefoner, ifølge nyhetstjenesten til Computerworld. Verdens mest utbredte smarttelefon-OS er fortsatt altfor enkel å jukse med, og Google klarer fortsatt ikke fjerne usikre app-er som inneholder nødvendig skadevare.

Tontrinn mot tonivå

Det er flere typer skadevare som kan brukes til å knekke SMS-sikringen. Felles for alle er at de er totrinns angrep mot et tonivå sikkerhetssystem.

Først må skadevare infisere en usikret pc uten antiskadevareprogramvare, og denne skadevaren starter en nettbank eller netthandel der de autoutfyller skjema med brukerinfo og får mobilnummer og mobilmerke utfylt av bruker eller av svindler.

Deretter sendes en lenke til den oppgitte telefonen. Når lenken åpnes, infiseres denne telefonen og en telefon nummer to i svindlernes hender blir mottaker for alle SMS-autentiseringskoder. Dermed blir svindlerne stedet der alle godkjenningskoder sendes, lenge nok til at skade kan påføres.

Kurrans og kompetanse

Opphavet til de fleste svindlene og knekkingene kommer fra Øst-Europa, i det NSS Labs kaller «det tidligere Sovjetunionen». I dag er det Russland og deres nærmeste samarbeidspartnere.

Grunnen til at Android er målOS er at det er det mest populær OS-et, det er et åpent Linux-system, Google Play er for svakt sikret og kompetansen på andre mobils er heller laber i disse landene.

Popularitet er et viktig poeng fordi målet for de cyberkriminelle bedragerne og svindlerne er å skaffe penger raskt, enkelt og umerkelig. Da angripes populære og ofte brukte os som Android og Windows heller enn marginale systemer som MacOS og PC-Linux. Sannsynligheten for å lykkes er så mye større.

Rapporten omhandler systemer som er mye brukt i amerikanske banker. Det framgår ikke av rapporten om sårbarhetene uten videre lar seg overføre til andre regioner eller land.