连“双重认证”都不靠谱, 拿什么来拯救银行账户安全?

外芯房5月7日讯黑客已经利用手机网络提供商使用的网络协议中的已知漏洞拦截双重身份验证短信从银行帐户窃取资金。

该漏洞首次在2014年发现，主要是因为七号信令系统存在安全漏洞，七号信令是全球电信运营商使用的电话信令协议，允许黑客拦截和收听私人电话，并且即使在移动网络使用高级加密技术的情况下，也能拦截短信。

虽然安全研究人员以前已经证明了七号信令网系统的漏洞，但一家德国报纸报道说，移动运营商02——西班牙电信公司Telefonica已经确认，通过对七号信令系统的两阶段攻击，一些客户银行账户的钱已经流失。该报道称，黑客最初将恶意软件加载到受害者的电脑上，使他们能够获得银行账户、登录密码和手机号码。然后他们利用七号信令网系统的漏洞拦截发送给这些受害者的双因子验证代码，以确认转移请求，从而使其清空目标帐户。

​针对发现的严重性，有计算机科学背景国会议员泰德·列夫指出，“我们对移动数据骨干的缺陷进行了警告”多年。现在2FA是螺丝“，”通过基于文本的双重身份验证（例如银行帐户）保护的所有人的帐户都有潜在的风险，直到FCC和电信行业解决了破坏性的SS7安全漏洞。

“联邦通信委员会和电信业都已经意识到，黑客可以获取我们的短信和电话对话，只是知道我们的手机号码，” 列夫在呼吁国会就此事举行听证会之前补充说。

虽然5G网络已经提出“直径协议”，可以替代SS7。然而，联邦通信委员会通信安全、可靠性和互操作性委员会发布的一份报告称，新的、更安全的标准也有安全漏洞，使其同样容易受到攻击。

Via：siliconangle

原文阅读：http://a.mp.uc.cn/article.html?uc_param_str=frdnsnpfvecpntnwprdssskt&wm_id=8c6375d8da82451db1bc2d893a6d3f42&wm_aid=ecbaf3eb78174a2ea8ae57ce7855fce7