過去大家也就擔心上游電信業者,成為駭客下手的目標,像是之前利用SS7協定漏洞的攻擊方式。最近資安業者FireEye揭露,有中國政府資助的APT41駭客集團,今年已鎖定4家電信組織,藉由入侵業者的簡訊服務中心伺服器,以蒐集目標對象的簡訊內容與資訊
ss7漏洞 在 iThome Security Facebook 的最讚貼文
ss7漏洞 在 方保僑 Francis Fong Facebook 的精選貼文
就 PayMe 綁定信用卡疑被盜用案件,香港資訊科技商會榮譽會長方保僑指出性質跟早前支付寶的案件相當類似。
「PayMe 用戶綁定信用卡後,系統會發送短訊,『扣 1 蚊』以證綁定成功。不過有用戶或收不到短訊,或未有及時讀取該短訊,於是在扣除一元後又再被轉賬。這個『扣 1 蚊』的動作業界稱為 Penny Test,乃金管局的最低要求,但最低要求並不就代表安全。」方保僑相信匯豐早有準備,因 PayMe 於案件事發翌日即改以單次性密碼(one-time password)取代「扣 1 蚊」,惟他強調單次性密碼仍存在一定風險。
方保僑透露,他於案發事後分別測試登記匯豐、恆生、星展及中銀之服務,均會以出生日期或身份證號碼等個人資料作用戶身份核實,經核對後將發出含單次性密碼之 SMS 短訊。他認為,單次性密碼理論上的確比較安全,但說到底仍有一定風險,如去年德國就有黑客藉 SS7 協定漏洞破解雙因素認證,而大陸亦有偽基站截取 SMS 以盜取短訊密碼。因此,他指單次性密碼並非百分百安全,但聊勝於無,總比 Penny Test 安全。
「再者,本來整個交易過程可由 PayMe 提供一條龍服務,無須第三方參與。如今則要借助 Verified by Visa 進行核實,因銀行本身不可能擁有所有人的電話號碼,只能靠第三方如 Visa 或 Master,加上須發送 SMS 短訊,無疑會增加成本。
ss7漏洞 在 Charles Mok 莫乃光 Facebook 的精選貼文
看不明白?唔緊要,總之,2FA!2FA!2FA!
有關 Telegram 雙重認證及其他網絡保安建議
https://medium.com/keyboard-frontline/86859eb5769e
#一定要開two_step_verification!
【前科偵查】今年2月28日,IT 界選委嘅 Telegram 戶口開始接連受到黑客試圖闖入記錄,入侵方法疑似利用電訊商 SS7 漏洞,盜取 SMS Login Code。上年 SS7 漏洞廣為報導後[6],坊間對 SS7 應該耳熟能詳,不過真實個案追蹤例子唔多,前線科技人員藉今次機會,追蹤其中一個手機作為案例,試圖尋找 SS7 襲擊嘅來龍去脈。
摘要:
(1)疑似 SS7 襲擊,個人 SMS 資訊被盜取。
(2)Telegram 語音傳輸 Login Code 可以係一個低成本攻擊漏洞(Telegram 現已作出對應)。
(3)Telegram 承諾修補一個容許 Login Code 與 2FA 相隔多日執行嘅漏洞。
(4)2FA(2-Factor Authentication,雙重認證)係最後防線,但要確保做足電郵保安。
(5)SS7 漏洞影響範圍廣泛,問題非 Telegram 獨享,希望各界及電訊商留意。
