Theo một báo cáo mới công bố trên Ars Technica vào ngày 4/5/2017, một lỗ hổng trong giao thức SS7 được các nhà mạng trên khắp thế giới sử dụng đã khiến khách hàng bị mất tiền trong tài khoản ngân hàng.
Giao thức SS7 (Signalling System No. 7) là giao thức được hơn 800 công ty viễn thông trên toàn cầu sử dụng để đảm bảo khả năng liên tác giữa các mạng. Nhờ có SS7, người dùng có thể gửi tin nhắn tới thuê bao ở các nước khác và các cuộc gọi không bị mất tín hiệu khi người gọi đang đi trên tàu. Nhưng điểm yếu của SS7 là cũng có thể dùng để nghe trộm các cuộc nói chuyện, theo dõi vị trí người dùng điện thoại và đọc lén các tin nhắn.
Năm 2016, các nhà nghiên cứu bảo mật đã minh hoạ về nguy cơ này bằng cách nghe lén cuộc nói chuyện của nghị sỹ Mỹ Ted Lieu chỉ với một thông tin là số điện thoại di động của nghị sĩ này.
Báo Süddeutsche Zeitung (Đức) cho biết vào tháng 1/2017, tin tặc đã lợi dụng lỗ hổng của giao thức SS7 để vượt qua biện pháp xác thực 2 yếu tố của ngân hàng, và lấy cắp tiền trong tài khoản. Chúng đã dùng SS7 để chuyển hướng các tin nhắn gửi mã xác thực dùng một lần của ngân hàng tới số điện thoại của kẻ tấn công (thay vì gửi tới số mà chủ tài khoản đăng ký với ngân hàng). Khi có được mã xác thực dùng một lần, tin tặc sử dụng mTANs (mobile Transaction Authentication Numbers) để chuyển tiền ra khỏi tài khoản ngân hàng. Trước đó, chúng đã đánh cắp mật khẩu truy cập của khách hàng bằng mã độc lây nhiễm vào máy tính.
Trước đây, để có được mã xác thực một lần, tin tặc phải sao chép thẻ SIM của nạn nhân, nhưng với khả năng lợi dụng điểm yếu của SS7, tin tặc có thể tấn công từ xa trên quy mô lớn.
Đại diện công ty viễn thông O2 Telefonica đã xác nhận rằng, tội phạm đã tấn công từ một mạng di động nước ngoài vào khoảng giữa tháng 1/2017. Chúng đã định hướng lại các tin nhắn gửi tới một số khách hàng người Đức để chiếm mã xác thực một lần. Nhà mạng nước ngoài đã bị chặn và những khách hàng bị lợi dụng đã được thông báo về vụ việc.
Khả năng lợi dụng điểm yếu của SS7 trên quy mô lớn đã được cảnh báo lần đầu tiên vào năm 2008 nhưng có rất ít người biết tới nó. Năm 2014, tờ Washington Post giải thích vì sao SS7 có thể bị lợi dụng dễ dàng bởi cả các cơ quan tình báo và những tổ chức tội phạm. Năm 2016, sau khi chương trình truyền hình 60 phút minh hoạ cuộc tấn công với số điện thoại của nghị sỹ Lieu, ông này đã nói: Các tài khoản được bảo vệ bằng xác thực 2 yếu tố dựa trên tin nhắn, chẳng hạn như tài khoản ngân hàng, có thể bị rủi ro cho tới khi Ủy ban Truyền thông Liên bang Mỹ (FCC) và ngành viễn thông khắc phục được lỗ hổng bảo mật nghiêm trọng của SS7. Cả FCC và ngành viễn thông đều đã biết tin tặc có thể truy xuất thông tin về tin nhắn và các cuộc gọi của người dùng mà chỉ cần biết số điện thoại. Tuy nhiên, họ không đưa ra giải pháp để bảo vệ quyền riêng tư và an ninh tài khoản của người dùng.
Việc khắc phục lỗ hổng này có thể mất nhiều năm. Về vấn đề lộ mã xác thực một lần qua SMS, Viện tiêu chuẩn quốc gia Hoa Kỳ (NIST) đã đề xuất loại SMS và cuộc gọi thoại khỏi danh sách các biện pháp xác thực kênh ngoài (out-of-band). Thay vào đó, người dùng nên dùng phần mềm Signal của Open Whisper Systems để mã hoá các tin nhắn và cuộc gọi; hoặc sử dụng phương pháp mã hoá dựa trên Security keys. Trong trường hợp không thể sử dụng các ứng dụng trên, người dùng có thể sử dụng các ứng dụng bảo mật tin cậy trên điện thoại như Duo Security hay Google Authenticator.
