Nu mă așteptam să se întâmple atât de rapid. În timp ce eram într-un call cu un coleg pe Google Hangouts, hackerul mi-a trimis screenshoturi de pe conturile mele de Bumble și Postmates, pe care le spărsese. Apoi mi-a arătat că primise mesaje al căror destinatar ar fi trebuit să fiu eu și pe care le interceptase. Mai târziu, mi-a preluat contul de WhatsApp și i-a dat mesaj unui prieten în locul meu.
M-am uitat la telefon și n-am găsit niciun semn că fusese spart. Încă eram conectat la rețeaua T-Mobile. Nimic neobișnuit. Dar hackerul își redirecționase mesajele mele. Și asta îl costase doar 16 dolari.
Videos by VICE
Nu făcuse schimb cu cartela mea SIM, cum fac unii hackeri care îi păcălesc sau îi mituiesc pe angajații telecom să porteze un număr de telefon spre cartela lor. Hackerul meu folosise serviciile unei companii numită Sakari, care ajută afacerile să facă marketing prin SMS și să trimită mesaje în masă, ca să schimbe ruta mesajelor mele spre el. Asta arată nu doar cât de nereglementată e industria de SMS-uri, ci și că în infrastructura de telecomunicații există niște erori mari.
„Oricine poate face asta dacă vrea să atace contul cuiva”, a declarat pentru Motherboard Lucky225, hackerul care a comis atacul.
Din fericire, Lucky225 mi-a preluat numărul și a intrat în conturile mele cu permisiunea mea, ca să-mi demonstreze eroarea. Nu e vorba de exploatarea de tip SS7, prin care hackerii mai sofisticați intră în sistemul industriei de telecomunicații ca să intercepteze mesaje. Ce a făcut Lucky225 e mult mai ușor și nu necesită multe cunoștințe tehnice. Spre deosebire de furtul cartelei SIM, prin care victima își pierde total serviciile de telecomunicații, telefonul meu părea normal. Doar că nu primeam mesajele pe care mi le trimitea lumea. Toate erau redirecționate spre hacker.
Odată ce hackerul e capabil să schimbe ruta mesajelor unei victime, îi e simplu să intre în alte conturi asociate cu respectivul număr de telefon. În acest caz, hackerul a trimis cereri de logare spre Bumble, WhatsApp și Postmates și a accesat conturile cu ușurință.
„Am folosit o cartelă prepay ca să cumpăr planul lor lunar cu 16 dolari și apoi am putut fura orice număr prin completarea unor formulare cu informații false”, a adăugat Lucky225, cu referire la Scrisoarea de Autorizație, un document care susține că semnatarul are autoritatea să schimbe numerele de telefon. (Compania de securitate cibernetică Okey Systems, unde Lucky225 e Director of Information, a lansat un instrument prin care companiile și consumatorii pot detecta acest tip de atac și alte câteva).
Metoda atacului, care nu a fost raportată sau demonstrată în detaliu până acum, are implicații pentru infracțiunile cibernetice prin care infractorii preiau numerele de telefon ale victimelor ca să le hărțuiască, să le fure banii din cont sau să le afecteze în alte feluri viețile digitale. Atacul ridică și alte probleme de siguranță națională, privată sau corporatistă, pentru că, odată comis atacul, hackerul poate intercepta informații delicate sau secrete personale.
„E destul de clar ce amenințare enormă reprezintă acest tip de atac pentru siguranță. FCC trebuie să-și folosească autoritatea ca să oblige companiile telefonice să-și protejeze rețelele de hackeri. Abordarea fostului director al companiei a eșuat”, a zis senatorul american Ron Wyden într-o declarație după ce Motherboard a explicat datele atacului.
***
„Sakari e un serviciu de mesagerie text care le permite companiilor să trimită prin SMS remindere, alerte, confirmări și campanii de marketing”, anunță site-ul companiei.
Pentru companii, trimiterea de mesaje text la sute, mii sau chiar milioane de clienți poate fi o sarcină dificilă. Ca să ușureze acest proces, Sakari le permite clienților să își importe propriul număr. Există un ecosistem mare de astfel de companii și fiecare se laudă că pot trimite mesaje text pentru alte companii. Unele companii spun că le permit clienților să schimbe ruta mesajelor pentru linii telefonice interurbane terestre sau telefonie VoIP, iar altele permit asta și pentru numere de telefoane mobile.
Sakari oferă o perioadă gratuită de testare oricui vrea să vadă cum arată acest serviciu. Cel mai ieftin abonament, care le permite clienților să adauge un număr de telefon pe care vor să primească mesaje costă 16 dolari. Lucky225 a furnizat pentru Motherboard screenshot-uri cu interfața companiei Sakari, care prezintă un simbol roșu „+” prin care utilizatorii pot adăuga un număr de telefon.
Când adaugi un număr, trebuie să semnezi Scrisoarea de Autorizație. Regulile Sakari îi cer utilizatorului să nu aibă niciun fel de comportament ilegal, abuziv sau nepotrivit.
Dar, după cum mi-a arătat Lucky225, un utilizator își poate face cont cu numărul altcuiva și astfel primește mesajele de pe numărul respectiv.
La câteva minute după ce mi-a introdus numărul de telefon în Sakari, Lucky225 a început să primească mesajele text pe care trebuia să le primesc eu. Nu am primit niciun apel sau o notificare text de la Sakari care să îmi ceară să confirm că numărul meu va fi folosit de serviciul lor. Pur și simplu am încetat să mai primesc mesaje.
„Bună, sunt Lorenzo”, mi-a scris colegul meu Lorenzo Franceschi-Bicchierai pe numărul respectiv.
„Bună, Lorenzo :) – Lucky”, i-a răspuns hackerul.
„Oamenii nici măcar nu știu că au fost atacați”, a zis Teli Tuketu, CEO Okey Systems.
Motherboard a mai creat și un cont în scopuri de verificare, dar Sakari l-a suspendat după ce i-am contactat ca să comenteze.
Nu e clar cât de mult e folosită această metodă de atac pentru numerele de telefon. Karsten Nohl, un cercetător de la Security Research Labs care a investigat securitatea în telecomunicații timp de ani de zile, a zis că nu a mai văzut așa ceva. Tuketu a zis că totuși se întâmplă.
Ted Blatt, vicepreședinte de vânzări la Text My Main Number, o companie similară cu Sakari, a declarat pentru Motherboard într-un e-mail că „am detectat activități suspecte pe unul dintre conturile noastre și l-am închis imediat și am raportat această activitate”.
Motherboard a creat conturi de Bumble, Postmates și WhatsApp, pentru că acestea se bazează pe SMS ca metodă de confirmare pentru login, și nu pe parolă sau adresă de e-mail.
Eva Galperin, director de securitate cibernetică la organizația activistă Electronic Frontier Foundation, a zis că atacul demonstrat subliniază importanța mutării oamenilor de pe astfel de platforme și găsirii de soluții noi pentru logarea prin telefon.
Nici Bumble și nici Postmates nu au comentat situația. WhatsApp are niște reguli pentru asta. De exemplu, le trimite utilizatorilor o notificare când sunt deconectați și cineva le accesează contul din altă parte. Un purtător de cuvânt de la WhatsApp a declarat pentru Motherboard: „Cum atâtea aplicații se bazează pe coduri trimise prin SMS, e esențial ca firmele de telecomunicații să facă un efort mai mare pentru a-și proteja clienții. De aceea, WhatsApp a introdus opțiuni care trimit utilizatorilor notificări când cineva înregistrează un dispozitiv nou. Pe lângă asta, încurajăm activarea verificării prin doi pași la logare, care protejează conturile cu un pin care îi împiedică pe alții să folosească numărul tău de WhatsApp.”
Am contactat AT&T, T-Mobile și Verizon să îi întreb despre situația asta, dar m-au trimis la CTIA, o asociație comercială care reprezintă industria wireless. CTIA a declarat: „După ce am aflat de această potențială amenințare, am investigat-o imediat și am luat măsuri de precauție. Intimitatea clienților noștri e principala noastră prioritate și vom continua să investigăm această problemă.”
***
Dar cum are Sakari capacitatea să transfere numere de telefon? Nohl, de la Security Research Labs, a zis că „nu există un protocol global standard pentru direcționarea mesajelor text spre altcineva, așa că aceste atacuri se bazează strict pe înțelegerile individuale cu rețelele de telecomunicații.”
Sakari primește capacitatea de a controla redirecționarea mesajelor de la o altă companie care se numește Bandwidth. Bandwidth a declarat pentru Motherboard că ajută la gestionarea numerelor și redicrecționarea mesajelor prin relația cu altă companie numită NetNumber. NetNumber deține și operează baza de date centralizată pe care industria o folosește pentru direcționarea mesajelor text, intitulată Override Service Registry.
Când i-am contactat, cei de la NetNumber ne-au trimis tot la CTIA.
Procesul de redirecționare a mesajelor text e similar cumva cu piața informaților despre locația utilizatorilor, prin care giganții din telecomunicații precum T-Mobile, AT&T și Sprint vând accesul la locația clienților lor altor companii, care, la rândul lor, vând acest acces altor companii. Pe lângă transferul de date despre locație, fiecare companie a transmis mai departe nevoia de a obține consimțământul companiei de sub ea, ceea ce lasă mult loc pentru abuzuri. În 2019, Motherboard a scris despre cum am plătit un vânător de recompense cu trei sute de dolari ca să obțină locația unui telefon și să demonstreze problema, iar „victima” nu a primit niciun fel de mesaj text sau apel ca să confirme că își dă consimțământul să fie urmărită. Verizon și-a introdus propriul mecanism de consimțământ în care obliga compania să trimită un mesaj text ca să confirme că proprietarul telefonului e de acord să-și dea datele despre locație.
Practica delegării nevoii de a obține consimțământ către alte companii se aplică și la situația redirecționării mesajelor. În acest caz, Sakari l-a rugat pe Lucky225 să semneze un contract de confidențialitate ca să confirme că are autorizația de a prelua controlul asupra numărului de telefon deținut de Motherboard, dar nu a trimis niciun mesaj de avertisment pe respectivul număr de telefon, ca să primească o confirmare de la proprietar. Bandwidth a zis că era responsabilitatea furnizorului de servicii, adică a companiei Sakari, să obțină consimțământul.
„Deși redirecționarea mesajelor text se poate aplica legal pentru anumite companii, implementarea individuală a acestui serviciu stă foarte prost la capitolul securitate și protecție a datelor. Companiilor telefonice au moduri diferite de autentificare a clienților, printre care se numără și mesajele text. Faptul că niciuna dintre aceste metode de autentificare nu e folosită în acest caz pentru a obține consimțământul de la proprietarul unui număr de telefon e șocant”, a zis Nohl.
Adam Horsman, cofondator Sakari, a declarat pentru Motherboard într-un e-mail: „Sakari ia foarte în serios securitatea și protecția datelor și suntem deasupra standardelor din industrie. Succesul nostru depinde de încrederea oamenilor în noi și suntem o platformă cu zero toleranță pentru fraudă sau spam”. A adăugat că, pe lângă scrisoarea de autorizare, Sakari are un proces solid de verificare, care include validarea adresei de e-mail a fiecărui client și verificarea manuală de către un membru al echipei de câte ori un cont face o cerere de upgrade la abonament.
„Nu am observat niciun fel de abuzuri prin mesaje text în trecut, iar cercetătorul vostru a jucat rolul unui actor prost în cadrul unei companii responsabile, ceea ce e un vector neobișnuit de atac. Dar apreciem că ne-ați adus în atenția această problemă. Vă informăm că am actualizat metodele de securitate ca să nu permitem așa ceva în viitor”, a continuat el.
Horsman a mai adăugat că Sakari a adăugat o caracteristică de securitate prin care un număr va primi un apel automat care îi va cere utilizatorului să trimită înapoi un cod de securitate ca să confirme că e ok ca mesajele să fie redirecționate spre numărul respectiv. În cadrul unui alt test, Lucky225 a încercat să redirecționeze mesaje pentru același număr cu consimțământ prin intermediul unui serviciu numit Beetexting; site-ul necesita deja un apel telefonic automat pentru a obține consimțământul utilizatorului. Beetexting nu ne-a răspuns la e-mail.
Horsman a zis că Sakari „va controla toate numerele de telefon existente din toate conturile Sakari, ca să se asigure că nu se va mai întâmpla așa ceva”.
„SMS-ul e un mediu de comunicare foarte puternic și, pe măsură ce continuă să domine industria telecomunicațiilor, suntem de acord că e nevoie de înmulțirea măsurilor de siguranță. Spre deosebire de apelurile vocale, portarea mesajelor nu e la fel de reglementată. De exemplu, nu include un pas final de verificare înainte de o portare”, a adăugat Horsman.
Într-o declarație, directoarea FCC Jessica Rosenworcel a zis: „Dacă sunt adevărate, aceste rapoarte despre vulnerabilitățile telefoanelor sunt alarmante. Consumatorii se bazează pe telefoane pentru informații personale mai mult decât oricând. Trebuie să înțelegem această potențială vulnerabilitate și să ne asigurăm că facem pașii corecți ca să protejăm și să educăm consumatorii.”
Senatorul american Mark Warner a declarat pentru Motherboard că, „deși legislatorii au fost foarte atenți la felurile în care infractorii au încercat să exploateze rețelele sociale, s-au ocupat prea puțin de felurile în care aceștia exploatează vulnerabilitățile și erorile din sectorul wireless pentru a comite fraude sau abuzuri”.
Instrumentul de monitorizare de la Okey Systems funcționează prin crearea unei amprente a numărului de telefon al unui utilizator, inclusiv al companiei la care e conectat și la rutele SMS-urilor, a zis Tuketu, CEO-ul companiei.
Când ceva se schimbă, fie printr-un atac cibernetic, fie prin schimbarea cartelei SIM, Okey Systems ar trebui să detecteze asta și să avertizeze utilizatorul printr-un mesaj text trimis pe un alt număr sau pe adresa lui de e-mail. Tuketu a zis că va trimite în viitor aceste notificări și pe Telegram, Keybase sau Signal.
„Nu am vrut să dezvăluim problema înainte să găsim soluții pentru adresarea ei”, a zis Tuketu. „Nu vom cere o taxă în plus pentru ele, pentru că așa e corect.” Versiunea Okey Monitoring pentru consumatori e gratuită, iar compania are de gând să facă bani în alte feluri, de exemplu, prin parteneriate cu corporații.
Dar Sakari e o singură companie. Și există multe altele în această industrie neglijată.
Tuketu a zis că după ce un furnizor le-a tăiat accesul, „ne-a luat două minute să găsim altul”.
Lorenzo Franceschi-Bicchierai a contribuit la scrierea acestui articol.