SS7 exploited to intercept 2FA bank confirmation codes to raid accounts

By: Robert Abel

Cybercriminals are exploiting flaws in SS7, a protocol used by telecom companies to coordinate how they route texts and calls around the world, to empty bank accounts by intercepting messages sent for two-factor-authentication(2FA).

The exploit can allow threat actors to track phones across the planet and intercept text messages and phone calls without hacking the phone itself.

While known that intelligence agencies and surveillance contractors could carry out these kind of attacks, Motherboard reported confirmation of financially-motivated criminal organizations using the technique to empty accounts at the U.K.’s Metro Bank in a recent attack.

“At Metro Bank we take our customers’ security extremely seriously and have a comprehensive range of safeguards in place to help protect them against fraud,” a Metro Bank spokesperson told Motherboard in an email. “We have supported telecommunication companies and law enforcement authorities with an industry-wide investigation and understand that steps have been taken to resolve the issue.”

Customers at other banks have also been victims of these attacks and the spokesperson went on to say that those affected at their bank represent only a small percentage of those affected.

The attacks highlight the issued of the SS7 network not authenticating who sends requests so SS7 will treat the commands of whoever gains access to the network all the same regardless of the validity.

More: https://www.scmagazine.com/home/security-news/cybercriminals

EE UU alerta del peligroso aumento del espionaje en los móviles

By: Antonia Laborde

El Departamento de Seguridad Nacional advierte de las ilegalidades cometidas por “atacantes maliciosos”. La debilidad se debe a la antigua red SS7, que es fácil de vulnerar

Los sistemas de vigilancia que consiguen rastrear un teléfono móvil y espiar las llamadas y mensajes de texto han proliferado y tienen nervioso al gobierno de Estados Unidos. El Departamento de Seguridad Nacional le envió una carta privada al senador Ron Wyden informando de las ilegalidades incurridas por “actores nefastos” que ponen en riesgo la privacidad de los estadounidenses, según The Washington Post. “Si más consumidores supieran lo fácil que es para los delincuentes rastrear o piratear sus teléfonos móviles, exigirían que la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) y las compañías inalámbricas hagan algo al respecto”, advirtió Wyden.

La vulnerabilidad a la que se enfrentan los usuarios es por la SS7 (Signaling System 7). Esta red fue creada en la década del 70’ con el objetivo de que las pocas compañías telefónicas de la época gestionaran todas las llamadas. Pero las empresas se fueron multiplicando, al igual que los usuarios y por ende, las posibles víctimas de espionaje. Y ya no solo es posible ubicar el móvil de otra persona, si no, que también interceptar sus datos, mensajes y llamadas.

Se ha demostrado que los problemas de seguridad del protocolo alcanzan a empresas como WhatsApp o Telegram, como también a los bancos. Las falencias del sistema permiten que las agencias de inteligencia de diversos países y bandas criminales espíen objetivos sin requerir nada más que sus números de teléfono.

El senador Wyden remitió una carta este martes a la FCC donde los recriminaba por no haber abordado los riesgos de ciberseguridad, siendo que los había urgido a hacerlo un año atrás. En la misiva, aclaraba que no se trataba de casos hipotéticos y que un importante operador de telefonía móvil le informó de que “atacantes maliciosos” pudieron acceder ilegalmente a datos de clientes debido a las vulnerabilidades de la SS7.

Las agencias de inteligencia estadounidenses, chinas, israelíes y rusas son los usuarios más activos del sistema de vigilancia SS7, según los expertos. A su vez, los proveedores del sector privado han puesto el sistema al alcance de docenas de otros gobiernos en todo el mundo, según publica The Washington Post. Los delincuentes sofisticados y el sector privado de inteligencia en las empresas también usan esta tecnología para espiar

Más: https://elpais.com/internacional/2018/05/31/actualidad/1527768912_766146.html