Jak hacknout účet u Vodafone? Bohužel velmi snadno.

Déle než půl roku upozorňuji Vodafone na to, že vystavují své zákazníky velkému riziku phishingu. Po celou dobu (pokaždé, když mi zavolají) se prakticky nemůžeme dohodnout na tom, abychom se společně dostali do našeho firemního zákaznického účtu. Důvod je prostý – nebudu dávat své heslo někomu na druhé straně telefonu, koho neznám a volá z běžného čísla. Operátor na druhé straně telefonu mě nedokáže spolehlivě přesvědčit o tom, že je skutečně z Vodafonu. Bohužel většina lidí tak opatrná není, jinak by už dávno měli jiný způsob ověřování.

Kontaktoval jsem několikrát Vodafone s tím, jaká vidím v jejich komunikaci rizika, ale bez reakce a nápravy. Třeba to změní tento článek.

Jak vlastně hovor od Vodafone probíhá?

Zavolá vám operátor z čísla začínající 581 (ano, ani to není nějaké premiové číslo jako devět sedmiček), představí se jako Vodafone páče o zákazníky a informuje vás, že by s vámi rád prošel novinky v tarifech, atp. Standardně informuje o monitorovaném hovoru. Pokud souhlasíte, informuje vás o tom, že aby se dostal do vašeho účtu, bude potřebovat dvě náhodné pozice z PINu. A zde nastává problém. Právě díky tomuto postupu lze prakticky za 3 minuty hacknout něčí zákaznický účet.

V čem je problém, aneb jak hacknout Vodafone účet?

Naprosto běžným phishingem, jen v offline režimu. Koupíte si jednorázovou SIMku a zavoláte na číslo, které chcete hacknout. Jak může takový hovor probíhat?

Operátor: Dobrý den, Jan Novák z Vodafone péče o zákazníky. Můžeme se prosím společně podívat na nastavení Vašich tarifů a optimalizovat tak Vaše náklady? Máme nové tarify, které by se Vám mohly líbit.
Klient: Ano, můžeme.
Operátor: Dovolím si Vás upozornit, že hovor může být monitorovaný. Souhlasíte?
Klient: Ano
Operátor: Děkuji. Abych se mohl přihlásit do Vašeho zákaznického účtu, budu potřebovat dvě pozice z Vašeho až 6ti místného PINu. Systém mi nyní losuje náhodné pozice. Prosím o strpení.
Operátor: Máme vylosováno, prosím Vás o 1 a 3. pozici
Klient: 6 a 5
Operátor: Děkuji, prosím o chvilku strpení.
Operátor: Bohužel, systém mi tato čísla odmítl. Jste si jistý, že máte k dispozici správný PIN?
Klient: Ano
Operátor: Zkusíme to ještě jednou, systém nám nyní vylosuje znovu náhodné pozice. Prosím o strpení.
Operátor: Máme vylosováno, prosím Vás o 2 a 4. pozici
Klient: 1 a 4
Operátor: Děkuji, prosím o chvilku strpení.
Operátor: Bohužel, systém mi tato čísla opět odmítl. Zkusíme to ještě jednou. Prosím Vás o 5. a 6. pozici PINu.
Klient: 3 a 8
Operátor: Děkuji, prosím o chvilku strpení.
Operátor: Omlouvám se za delší odmlku. Právě mě informoval vedoucí call centra, že má náš systém výpadek, proto nám nešlo PIN ověřit. Velmi se omlouvám, mohu Vám zavolat, až nám systém opět naběhne?
Klient: Ano, jistě.
Operátor: Děkuji a prozatím Vám přeji hezký den.

… Hovor vypadá běžně jako jakýkoliv jiný hovor od Vodafone, se kterým se již klient setkal. Jen tam byly výpadky. Výpadky systému jsou dnes běžnou součástí života a klient nemá důvod znejistit. Hacker vydávající se za operátora má k dispozici PIN pro volané číslo v plném rozsahu, tzn. 615438. Může tak disponovat s celým prostředím „Můj Vodafone“ daného klienta.

Jak by měl hovor probíhat?

Pokud volá Vodafone vám, volá na základě kontaktního telefonu vedeného v účtu. Z toho usuzuji, že si kartu zákazníka operátor již otevřel a vidí ji (v mém případě je kontaktní telefon jiný, než tel. ve smlouvě, za které se platí tarify) – není tedy co ověřovat, vše musí již mít otevřené. Pokud tak podpora volá vám a ne vy jí, proč žádat o ověření? Opačně bych to chápal.

Pokud bychom se bavili obecně o ověření, pak se mi jako nejrozumnějši varianta jeví generování jednorázové SMS zprávy, která by byla odeslaná na kontaktní telefon uvedený v účtu. Klient by musel nadiktovat jednorázový kód v SMSce, platný např. 5 minut. Jednoduché, rychlé, jednorázové a tím i bezpečné.

Upozorňuji, že tento článek není návodem na protiprávní jednání. Případná aplikace v praxi je trestním činem. Tento článek má upozornit na chybu, kterou Vodafone doposud ignoroval. Cílem je, aby se ve Vodafone konečně chytli za hlavu, že to v roce 2018 skutečně nedělají dobře a změnili komunikaci a způsob autorizace jejich zákaznické linky. Do doby, než to udělají vystavují své zákazníky možnému phishingu ze strany útočníka.