Totrinnsgodkjenning, der koden sendes som tekstmelding, har blitt hacket i Tyskland.

At totrinnsgodkjenning ikke er noen skuddsikker teknologi, har eksperter advart om i årevis, og nå har teknologien blitt utnyttet..

© Shutterstock

Totrinnsgodkjenning utnyttes av datakriminelle

En feil i signalsystemet til mobilnettverk gjør at totrinnsgodkjenning med tekstmeldinger er sårbart, og nå har sårbarheten for første gang blitt utnyttet av kriminelle.

10. mai 2017 av Mathias Alsted Lund Flinck

Tast inn brukernavn og passord på en hjemmeside og motta en unik kode på telefonen, og tast inn koden. Det bør da være sikkert. 

Det tenker nok de fleste om den såkalte totrinnsgodkjenningen med tekstmelding, men teknologien har vist seg å ha svakheter som hackere har klart å utnytte.

Gjennom flere år har sikkerhetseksperter advart mot at kriminelle kan få tilgang til og misbruke signaleringssystemet SS7, og dermed snappe opp tekstmeldinger.

Lykkes de samtidig med å installere skadevare på en pc og bruke programmer som lurer deg til å gi fra deg brukernavn og passord, kan de få tilgang til personlig opplysninger.

Tyveri i Tyskland

Dette virker kanskje komplisert og usannsynlig, men sikkerhetshullet har allerede ført til at tyske bankkunder har blitt utsatt for svindel, ifølge det tyske teleselskapet 02 Telefonica.

I det spesifikke angrepet sendte hackerne først ut en epost som så ut som den kom fra banken, der de fisket etter informasjon. Fra denne meldingen ble brukerne ledet videre til en falsk hjemmeside, der de ble lurt til å legge igjen kontonummer, passord og telefonnummer, som så ble utnyttet.

Det har til nå ikke vært noen tilfeller i Norge, men signaleringssystemet SS7 benyttes også her, så vi kan også bli utsatt for angrep som dette.

Kanskje du er interessert i...