Již tři roky se ví o vážné zranitelnosti signalizačního protokolu č. 7 (SS7), používaného v mobilních telefonních sítích (první obavy se objevily dokonce už v roce 2008). A letos v lednu se potvrdilo, že věc nelze brát na lehkou váhu. Útočníci zneužili tuto bezpečnostní slabinu k prolomení dvoufaktorové autentizace u přístupu k bankovním účtům a odcizili z těchto účtů peníze. O krádeži informovaly německé noviny Süddeutsche Zeitung.
Zástupce telefonního operátora Telefónica O2 informace potvrdil: „V polovině ledna [proběhl] kriminální útok ze sítě cizího operátora, [kdy] SMS přicházející na jednotlivá čísla byla přesměrována [bez autorizace].‟ Útok na SMS byl doplňkem ovládnutí počítačů pomocí malwaru; hesla odchycená touto cestou však nestačí k převodu peněz, proto útočníci zneužili zmíněnou zranitelnost SS7 a z přesměrovaných zpráv získali číselné kódy k potvrzení transakcí (mTAN).
Americký normalizační úřad NIST původně do návrhu pravidel pro digitální autentizaci začlenil zákaz využití SMS v rámci dvoufaktorové autentizace, revidovaný návrh ale už tento zákaz neobsahuje.
