img

澳门拉斯维加斯

黑客利用移动网络中的一个已知安全漏洞,允许他们拦截双因素身份验证消息,以劫持用户登录信息并排空银行账户

德国报纸SüddeutscheZeitung首次报道的此次攻击是第一个被称为信号系统7(SS7)的电话网络路由系统的犯罪漏洞,并为智能手机用户和移动运营商带来了新的挑战

阅读:D.C

细胞网络可能已被黑客攻击,用于监控呼叫为了闯入受害者的帐户,攻击者首先获取用户名和密码 - 可能是从以前发现数百万帐户凭据的数据泄露中收集的

由于人们经常回收密码或使用相同密码的变体,之前的泄密可能会使看似无关的帐户处于危险之中

一旦攻击者输入了用户名和密码,他们就必须能够访问双因素身份验证代码 - 这是一种辅助保护,可以将临时登录代码发送给与用户关联的设备

它通常以发送到用户主要电话号码的文本消息的形式出现

这种类型的保护通常确保登录尝试来自声称的用户,因为它需要物理访问设备本身以接收代码

但是,使用SS7中的漏洞攻击,攻击者能够在到达用户设备之前拦截包含双因素登录代码的消息

通过访问该代码,攻击者可以进入受害者的银行账户并通过将资金转移到另一个账户来消耗资金

阅读:什么是SS7

立法者要求联邦通信委员会审查通信基础设施中的安全漏洞此攻击具有广泛的影响,因为它暴露了旨在使用户帐户更安全的系统中的漏洞

从银行账户到社交网站(如Facebook和Twitter)以及Gmail等电子邮件帐户都支持并推广双因素身份验证作为有价值的安全协议

对于受害者和类似攻击的潜在未来受害者而言,这次袭击更令人沮丧的原因是SS7中的漏洞利用多年来一直为人所知

该协议的一个缺陷首次发现于2014年,当时德国安全研究员Karsten Nohl在系统中发现了一个漏洞,如果被利用,将允许攻击者记录电话,拦截文本,将呼叫转发和转发到其他设备,并跟踪单个设备的位置

一些立法者已经推动对该漏洞进行调查,并试图推动电信公司采取行动解决这一问题

今年早些时候,D-Ore

的Ted Lieu和参议员Ron Wyden向联邦通信委员会主席Ajit Pai致函,以鼓励该机构采取行动解决这个问题

立法者写道:“很明显,在电信网络安全方面,行业自律并不奏效

” Lieu周三发表的一份声明回应了这次袭击事件

“每个人的帐户都受到基于文本的双因素身份验证的保护,例如银行账户,在FCC和电信行业修复破坏性的SS7安全漏洞之前可能存在风险,”他说

“FCC和电信行业都已经意识到黑客只要知道我们的手机号码就可以获得我们的短信和电话对话

FCC和电信行业没有尽快采取行动保护我们的隐私和财务安全,这是不可接受的

我敦促共和党控制的国会就此问题立即举行听证会

News