O2公司证实了确有此事：网上窃贼使用了盗取的双因子验证（2FA）短信代码。

　　多年来，专家们一直在敲警钟：提防信令系统7（SS7）协议在安全方面的重大错误，而SS7协议是全球许多蜂窝网络彼此进行通信所使用的那种神奇的“粘合剂”。

　　这些漏洞有可能被人滥用，比如说将人们的电话呼叫和文本短信重定向至不法分子的设备。现在，我们已经看到了首例骗子利用设计缺陷，将受害者的现金装入到自己腰包的例子。

　　德国的O2-Telefonica电信公司已向《南德意志报》（Süddeutsche Zeitung）证实，不法分子利用一种分两个阶段的攻击，这个攻击正是钻了SS7的空子，窃取了其一些客户的银行账户资金。

　　换句话说，窃贼钻了SS7的空子，截获了发送给网上银行客户的双因子验证码，让窃贼得以将账户洗劫一空。据多位消息灵通人士声称，窃取事件发生在过去的几个月。

　　2014年，研究人员证明了SS7存在根本上的缺陷，详见https://www.theregister.co.uk/2014/12/26/ss7_attacks/。上世纪80年代，多家电信公司开发出了这种协议，让蜂窝网络和一些固话网络可以相互连接、交换数据。如果有人可以进入到电信公司的内部网络（比如黑客或腐败的员工），就可以通过SS7，访问世界上其他任何运营商的后端系统，进而跟踪手机的位置，阅读或重定向文本消息，甚至监听通话内容。

　　在这个案例中，攻击者钻了一些德国银行使用的采用双因子验证技术的交易验证码系统的空子。网上银行客户需要获得发送到其手机上的验证码，之后才可以在银行账户之间转账。

　　这伙黑客首先通过垃圾邮件将恶意软件发送到受害者的计算机，然后偷偷收集银行账户存款余额、登录信息、账户密码，另外还有手机号码。然后，他们掏钱购买了一家非法电信提供商的服务，经过一番设置，将受害者的手机号码重定向至实际上由攻击者控制的手机。

　　接下来，通常在受害者熟睡的三更半夜，攻击者登录进入到他们的网上银行账户，将里面的资金转移出去。交易号码发送后，它们实际上被发送给了犯罪分子，然后他们可以完成交易。

　　虽然安全专家们一直在警告，提醒大家防范这种攻击，政客们一直日益对此大声疾呼，但是电信公司一直迟迟没有动作，没有认真及时地处理这个问题。一种普遍的看法是，需要电信公司才能完成攻击；现在的问题是，什么样的卑鄙公司会任由自己被人以这种方式所利用。

　　这年头，几乎谁都可以操办起一家电信公司，或者花钱购买一家电信公司的后端服务。据美国通信行业监管机构联邦通信委员会（FCC）的通信安全、可靠性和互操作性委员会声称，雪上加霜的是，Diameter协议这种提议用于5G网络上的SS7替代方案同样存在着安全漏洞。

　　但愿这第一例公开证实的攻击会让有关方加大工作力度，尽快解决SS7存在的问题，至少在欧洲是这样（德国电信公司在欧洲处于领导地位）。至于美国，可能在发生一连串的SS7攻击之后，美国电信公司才会幡然醒悟、加快行动起来。

　　云头条编译、未经授权谢绝转载

　　相关阅读：

　　中高端IT圈人群，欢迎加入！

　　赏金制：欢迎来爆料！长期有效！

相关阅读：

中国男孩入侵美国黑客

中国最厉害的黑客

icloud账户未验证

新股申购账户资金

中国黑客宣战韩国乐天

网络摄像头黑客

黑客工具盗号

资金账户是什么

黑客技术教程

黑客窃取银行资金

银行账户资金流动频繁

如何成为一名黑客

相关推荐：

华为史上最美操作系统，你绝对不能错过的EMUI5.0

国产操作系统典范：deepin操作系统

娱乐办公两不误！这个笔记本能把屏幕拔下来写字

斗鱼响应新规加强监管，坚持打造优质精品直播

SpaceX 火箭爆炸原因确定：液态氧过冷成了固态

华为Mate9中国版真机秀 你绝对没发现它有两种版本

99%的人都不知道的微信高效使用术？

乐视网一周蒸发88亿元 贾跃亭反思节奏发展过快

似乎已经战胜传统渠道的小米 今年为什么被OPPO、vivo 打败？

优雅商务风，性能一鸣惊人—TCL 950体验评测

转载请注明出处。