Számos bank használja előszeretettel a SMS-re épülő kétfaktoros autentikációt, annak ellenére, hogy szakértők régóta mondogatják, hogy kijátszható. A működése egyszerű: az ügyfél megadja bankja weboldalán stb. a belépési adatait, a bank küld egy megerősítő kódot tartalmazó SMS-t az ügyfél korábban regisztrált telefonszámára, az ügyfél ezt a kódot visszagépeli a bank weboldalán, így azonosítva magát második lépcsőben. Az elgondolás jó, de vannak vele gondok.
A probléma a kommunikációs láncban jelen levő Signaling System 7 protokollal van. A probléma régóta ismert, de javítása, lecserélése mégis várat magára. Pedig sürgős lenne, főleg azután, hogy élő példa akadt a kihasználására.
A német O2-Telefonica elismerte a Süddeutsche Zeitung-nak, hogy egyes ügyfeleik bankszámláját megcsapolták az SS7 hibáját kihasználva. A támadók az SS7 hibáját kihasználva elfogták a bank által az ügyfélhez küldött SMS-eket. Természetesen az SMS-ek önmagukban nem lettek volna elegendőek ehhez a mutatványhoz. Az is kellett hozzá, hogy a támadók az áldozatok egyéb belépési adatait előzőleg megszerezzék egyéb, jól ismert módokon (pl. levélben küldött malware-en keresztül).
További részletek itt.