SS7 (Signalling System No. 7) adalah protokol telepon seluler yang dibuat pada tahun 1980an oleh telcos dan didukung lebih dari 800 operator telekomunikasi di seluruh dunia hingga saat ini termasuk di Indonesia, termasuk yang digunakan oleh AT&T dan Verizon, dalam upaya untuk menghubungkan dan bertukar data, seperti routing calls dan sms, roaming dan layanan lainnya.


Germany's O2 Telefonica belum lama ini telah mengkonfirmasi bahwa kelemahan SS7 yang sama kembali dimanfaatkan oleh penjahat dunia maya untuk memotong two-factor authentication (2FA) milik bank yang digunakan untuk mencegah penarikan uang oleh siapapun dari rekening bank pengguna yang sah.

"Penjahat melakukan serangan dari jaringan operator jaringan pada pertengahan Januari," perwakilan O2 Telefonica mengatakan kepada Süddeutsche Zeitung. "Serangan diarahkan melalui pesan SMS yang masuk untuk nasabah bank terpilih di Jerman"

Singkatnya, penjahat cyber mengeksploitasi kelemahan SS7 untuk mencegat kode otentikasi dua faktor (one-time passcode, atau OTP) yang dikirim ke nasabah perbankan online dan kemudian menghabiskan rekening bank mereka.

Skenario Menguras Rekening Bank pada Jaringan SS7:

Penyerang pertama kali mengeluarkan bank-fraud trojans tradisional untuk menginfeksi komputer pemegang rekening dan mencuri password yang digunakan untuk login ke rekening bank, melihat saldo akun, bersama dengan nomor ponsel mereka. Kemudian, Penyerang membuat transfer uang dengan kata sandi yang dikirim bank melalui pesan teks ke pelanggan perbankan onlinenya untuk memberi otorisasi transfer dana antar rekening.

Para penjahat cyber sebenarnya telah membajak nomor ponsel nasabah melalui penyedia telekomunikasi dan menyiapkan redirect untuk nomor telepon korban ke handset yang dikendalikan oleh penjahat cyber. Secara khusus, mereka menggunakan SS7 untuk mengalihkan SMS yang berisi OTPs yang dikirim oleh bank.

Selanjutnya, para penyerang login ke rekening bank online korban dan mentransfer uang, dengan kode otorisasi yang dikirim oleh bank ke nomor telepon yang telah dikendalikan oleh penyerang, dan menyelesaikan transaksi tersebut.

Kejadian tersebut menggaris bawahi perihal risiko mengandalkan otentikasi dua faktor berbasis SMS. Meski operator jaringan tidak bisa menambal celah dalam waktu dekat, hanya ada sedikit pengguna smartphone yang bisa melakukannya. Hindari menggunakan otentikasi dua faktor melalui teks SMS untuk menerima kode OTP. Sebagai gantinya, mengandalkan kunci keamanan berbasis kriptografi sebagai faktor otentikasi kedua.
 
Top