Los piratas informáticos piratean cuentas de Telegram y correo electrónico con el ataque SS7
Al atacar el protocolo SS7, los piratas informáticos pueden interceptar mensajes de texto y llamadas del destinatario real.
Los piratas informáticos que tenían acceso al sistema OKS-7 (SS7) utilizado para configurar redes móviles en todo el mundo pudieron acceder a cuentas de Telegram y cuentas de correo electrónico de personalidades conocidas en el negocio de las criptomonedas, según Bleeping Computer.
Los piratas informáticos intentaron obtener códigos de autenticación de dos factores (2FA) a través de una vulnerabilidad en el sistema de mensajería SMS del proveedor de telefonía móvil de la víctima.
Los piratas informáticos SS7 pueden interceptar los mensajes de texto y las llamadas del destinatario real, actualizando la ubicación del dispositivo como si estuviera registrado en una red diferente.
El ataque tuvo lugar en septiembre y tuvo como objetivo al menos 20 suscriptores del operador móvil israelí Partner Communications (anteriormente conocido como Orange Israel), todos los cuales estaban involucrados en proyectos de criptomonedas de alto nivel .
Tzachi Ganot, cofundador de Pandora Security en Tel Aviv, que investigó el incidente y ayudó a las víctimas a recuperar el acceso a sus cuentas, le dijo a BleepingComputer que toda la evidencia apunta a un ataque SS7.
Pandora Security se especializa en la creación de entornos digitales seguros y brinda tecnología y servicios cibernéticos a personas de alto perfil, como figuras comerciales destacadas y celebridades. Según Ganot, entre los clientes se encuentran algunas de las personas más ricas del mundo.
Ganot informó que los piratas informáticos probablemente falsificaron el Centro de servicio de SMS (SMSC) de un operador de red móvil (no pudimos determinar cuál) para enviar una solicitud de actualización de ubicación para los números de teléfono de socios en los que estaban interesados.
Básicamente, la solicitud de actualización requería que Partner enviara todas las llamadas de voz y los mensajes SMS destinados al destinatario real al MSC falso.
Imagen: Cellusys vía BleepingComputer
Ganot dice que los atacantes han estudiado las cuentas de sus víctimas y les han filtrado las contraseñas. Sabían números de suscriptor internacional únicos (MSISDN – Número de directorio de suscriptor internacional para estaciones móviles) y números de Identidad de suscriptor móvil internacional (IMSI ).
Los ataques SS7, aunque más comunes en los últimos años, no son fáciles de llevar a cabo, ya que requieren un buen conocimiento del interfuncionamiento de redes móviles domésticas y el enrutamiento de comunicaciones a nivel global.
En este caso, el objetivo de los hackers era obtener criptomonedas. Ganot cree que algunos de los buzones comprometidos de esta manera actuaron como un método de respaldo para otras cuentas de correo electrónico con información más valiosa, lo que permitió al atacante acceder a ella.
“En algunos casos, los piratas informáticos se hicieron pasar por víctimas pirateando sus cuentas de Telegram y escribiendo a algunos contactos pidiéndoles que cambiaran BTC por ETC y similares." – Tzachi Ganot
Esta estafa es bien conocida en la comunidad de criptomonedas y los usuarios generalmente desconfían de tales solicitudes. Ganot dice que "hasta donde sabemos, nadie cayó en el anzuelo".
Si bien el envío de códigos de verificación a través de SMS no se considera inseguro sin razón, muchos servicios, incluido Telegram, aún dependen de esta práctica, lo que pone en riesgo a los usuarios.
Actualmente, existen mejores métodos de autenticación que la autenticación por SMS o basada en llamadas. Las soluciones incluyen aplicaciones creadas específicamente para este propósito o claves físicas, dijo Ganot. Los estándares de telecomunicaciones deben alejarse de los protocolos heredados como SS7 (desarrollado en 1975) que ya no son capaces de resolver los problemas actuales.
El periódico israelí Haaretz publicó detalles del ataque a principios de este mes, alegando que la Agencia Nacional de Inteligencia de Israel (Mossad) y la Dirección Nacional de Ciberseguridad del país estaban involucradas en la investigación.
La publicación también señala que Ganot y su socio (los fundadores de Pandora Security) trabajaron para la NSO durante varios años .