Signaling System No. 7 (SS7) är ett kommunikationsprotokoll som har använts i flera decennier för att låta mobilnätverk runt om i världen utbyta information. Det spelar en viktig roll i processerna för att koppla samtal, skicka sms och många andra funktioner.

Med anledning av de säkerhetsproblem som är förknippade med SS7 kan angripare med ont uppsåt använda det för att:

1. fånga upp samtal och sms som skickas till ditt telefonnummer
2. hindra dig från att ta emot telefonsamtal och sms
3. spåra din plats i realtid.

Om du använder sms för tvåstegsautentisering på Stripe kan angriparen använda denna metod för att få tillgång till dina verifieringskoder och på så sätt få åtkomst till ditt konto.

Vem kan utföra den här typen av attacker?

Alla mobiloperatörer i världen har tillgång till SS7 och kan i teorin utföra en sådan attack. Det behövs bara en medarbetare med onda avsikter hos en mobiloperatör i någon del av världen för att en sådan attack ska kunna genomföras.

Varför vill de angripa mig?

Angriparen behöver bara känna till ditt telefonnummer. Det kan de hitta i en telefonlista eller hämta från tidigare dataintrång.

Hur kan jag försvara mig mot SS7-attacker?

Så länge som SS7 fortsatt används av mobilnätverk är SS7-attacker möjliga. Protokollet innehåller grundläggande fel och kan inte åtgärdas på annat sätt än att det byts ut i hela världen. Därför finns det för närvarande inga sätt att förhindra SS7-attacker. Det enda sättet att skydda ditt Stripe-konto från de skadliga följderna är att sluta använda textmeddelanden (sms) för tvåstegsautentisering.

Så länge tvåstegsautentisering med sms är aktiverat är ditt konto utsatt för risk. Du bör aktivera en alternativ metod för tvåstegsautentisering, t.ex. en autentiseringsapp eller en hårdvarusäkerhetsnyckel, och därefter inaktivera sms-metoden.