Signaling System No. 7 (SS7) is een communicatieprotocol dat al decennialang wordt gebruikt door telefoonnetwerken over de hele wereld om informatie uit te wisselen. Het speelt een belangrijke rol bij het verbinden van telefoongesprekken, versturen van sms'jes en allerlei andere functies.

Wegens de beveiligingsproblemen die met SS7 samenhangen, kunnen kwaadwillende aanvallers hiermee helaas ook:

1. telefoongesprekken en sms'jes naar je telefoonnummer onderscheppen;
2. voorkomen dat je telefoongesprekken en sms'jes ontvangt; en
3. je locatie in realtime volgen.

Als je sms gebruikt voor tweestapsauthenticatie op Stripe, kan een aanvaller deze methode gebruiken om je verificatiecodes te verkrijgen en zo toegang te krijgen tot je account.

Wie kan zo'n aanval uitvoeren?

Elke mobiele operator in de hele wereld heeft toegang tot SS7 en kan in theorie zo'n aanval uitvoeren. Daar is maar één malafide medewerker bij één mobiele operator waar dan ook ter wereld voor nodig.

Wat hebben ze nodig om me te kunnen aanvallen?

Aanvallers hebben alleen je telefoonnummer nodig. En dat kunnen ze eenvoudig opzoeken in het telefoonboek of in bestanden met eerder gelekte gegevens.

Hoe kan ik me beschermen tegen SS7-aanvallen?

Zolang mobiele netwerken SS7 blijven gebruiken, kunnen er SS7-aanvallen plaatsvinden. Het protocol heeft fundamentele gebreken die alleen kunnen worden gecorrigeerd door het wereldwijd te vervangen. Er is dus geen enkele manier om SS7-aanvallen te voorkomen. De enige manier om je Stripe-account te beschermen tegen de schadelijke gevolgen ervan is door geen sms meer te gebruiken voor tweestapsauthenticatie.

Zolang sms voor tweestapsauthenticatie is ingeschakeld, loopt je account risico. We raden je aan een alternatieve methode voor tweestapsauthenticatie in te schakelen, zoals een authenticatieapp of een hardwarebeveiligingssleutel. Je kunt sms vervolgens uitschakelen.