Pregunta:
¿Podría piratearse la autenticación de dos factores de mi banco?
user13779
2013-05-29 13:32:48 UTC
view on stackexchange narkive permalink

Cuando intento iniciar sesión en mi banco, se envía un código SMS a mi teléfono. Luego escribo este código de nueve caracteres en el sitio web del banco para iniciar sesión en mi cuenta.

¿Es vulnerable a ataques, sin piratear el software o servidor del banco, o sin acceso a mis comunicaciones telefónicas / SMS? ?

¿Cómo se podría aprovechar? Hasta ahora, la única forma que puedo imaginar es que alguien instale una aplicación en mi teléfono que intercepte el tráfico de SMS y reenvíe el código a un atacante. ¿Cómo puedo evitar que esto me suceda?

El [artículo de wikipedia sobre TAN] (http://en.wikipedia.org/wiki/Transaction_authentication_number) también contiene una sección sobre la seguridad de los códigos de confirmación por SMS (sección "TAN móvil").
Sí, pueden debido a gsm. http://ftp.ccc.de/congress/2012/mp4-h264-HQ/29c3-5216-en-attacking_mobile_terminated_service_in_gsm_h264.mp4 Empiece en el minuto 30.
Relacionado: http://security.stackexchange.com/questions/11493/how-hard-is-it-to-intercept-sms-two-factor-authentication?rq=1
"la única forma que puedo imaginar es que alguien instale una aplicación en mi teléfono que intercepte el tráfico de SMS" ¿No cuenta eso como "acceso a [su] teléfono / comunicaciones por SMS"?
Cuatro respuestas:
GdD
2013-05-29 14:13:34 UTC
view on stackexchange narkive permalink

Tienes razón en que una de las formas en que un atacante podría interceptar el código es pirateando tu teléfono. Un atacante también podría:

  • Clonar la SIM de su teléfono y solicitar que se le envíe un código bancario a su número de teléfono. también podrían clonar un teléfono que no sea SIM.
  • Robar su teléfono. Una vez que tengan su teléfono, podrían realizar transacciones.
  • Realizar un ataque de hombre en el medio cuando utilice su sitio bancario. Esto ya se ha hecho, un atacante usa malware instalado en su computadora (un hombre en el ataque del navegador) para dirigir su tráfico bancario a un sitio configurado para imitar la página de su banco. O un atacante puede subvertir un sistema para actuar como un proxy. De cualquier manera Cuando ingresa el código, el atacante lo obtiene, luego usa el código para realizar una transacción
  • Diseñar socialmente su banco para cambiar los detalles de su teléfono móvil a un teléfono que ellos controlan. Si un atacante sabe lo suficiente sobre usted y los procedimientos de su banco no son lo suficientemente estrictos, entonces el atacante podría llamar a su banco haciéndose pasar por usted y pedirle que cambie el número de teléfono móvil

¿Y qué ¿Qué puede hacer?

  • Mantenga el control de su teléfono móvil.
  • Asegúrese de que su computadora esté actualizada con parches y software anti-malware
  • Realice todas sus operaciones bancarias en una máquina virtual y nunca guarde su estado. Si su máquina virtual es pirateada y guarda el estado, el malware permanecerá en la máquina virtual, sin embargo, si nunca guarda su estado, el malware no podrá permanecer en la máquina virtual
  • Muchos bancos utilice algún tipo de código de autenticación para verificar la identidad de las personas que llaman. Anótelos, pero no los ponga en su computadora o teléfono, de esa manera todavía hay algo que un atacante no sabe, incluso si tiene acceso completo a su computadora y su identidad en línea.

No todo es pesimismo, la mayoría de las veces los bancos pueden revertir las transacciones si se detectan rápidamente, si sospecha que se ha realizado una transacción fraudulenta, ingrese a su banco lo antes posible y comuníquese con sus investigadores. Lo bien que pueda salir esto depende de las leyes locales y de lo bueno que sea su banco.

solo tengo curiosidad por saber a qué te refieres con trabajar con una copia de VM cada vez.
Cuando cree una máquina virtual por motivos de seguridad, haga una copia y utilice la copia. De esa manera, si accidentalmente guarda su estado, puede hacer otra copia del maestro. No quise hacer una copia nueva cada vez que realice operaciones bancarias. Tienes razón, fue confuso, lo editaré.
Gracias por la información y las ideas. Definitivamente es una buena idea usar la máquina virtual con Debian o algo solo para acceder a cuentas bancarias;).
Usar una máquina virtual desde una computadora infectada no es muy seguro, ¿verdad? Supongo que tener un sistema base limpio que no uses para nada (excepto la actualización) y luego una VM diferente para cada tarea que realices sería perfecto (pero engorroso).
@OmarKohl, Yo diría que es un hecho, sin embargo, sigue siendo más seguro que usar la máquina base para sus transacciones. El objetivo de usar una máquina virtual sería ayudar a evitar que su sistema se vea comprometido en primer lugar.
Tenga en cuenta que el ataque man-in-the-middle es derrotado por buenos sistemas: allí, el SMS contendrá el código de confirmación * y * los detalles de la transacción. Si el ataque MitM modifica la transacción a espaldas del usuario, esto seguirá apareciendo en el SMS. Por supuesto, todavía es posible secuestrar el teléfono o la tarjeta SIM.
Entiendo que no todas las personas usan / les gusta usar Linux, pero otra buena alternativa son los CD / USB en vivo. La desventaja es que necesitas reiniciar tu computadora
Creo que el ataque "man-in-the-middle" que mencionas se describe mejor con el término "man-in-the-browser". También hay un buen artículo al respecto en wikipedia (no sé si vale la pena editarlo)
Opcionalmente, cifre sus teléfonos móviles
El cifrado del teléfono móvil no funcionará en este caso. @VarunAgw, solo protege su teléfono en caso de pérdida o robo.El malware que compromete con éxito un teléfono (o cualquier otra computadora) tendrá acceso a los datos subyacentes ya que las claves se mantienen en la memoria.
@GdD ¡Sí!Me refiero solo a esos casos
Cristian Dobre
2013-05-29 14:42:40 UTC
view on stackexchange narkive permalink

La idea general sobre un segundo factor / paso para la autenticación es proporcionar dos capas independientes de seguridad. Las vulnerabilidades en una capa no deberían afectar la seguridad de la otra.

La autenticación de segundo factor se diseñó y usó correctamente en el pasado, pero últimamente ha sido debilitada por empresas que se preocupan más por las ganancias que por la seguridad. Los mensajes SMS no pueden recrear el nivel de seguridad de los tokens RSA y las tarjetas inteligentes cuidadosamente diseñados.

Los ataques a SMS como segundo factor ya no son delitos teóricos sino multimillonarios. Comprometer el teléfono es el enfoque más estricto y se usó al menos en este atraco de 47 millones de dólares.

Clonar la tarjeta SIM puede ser mucho más fácil cuando la ingeniería social entra en escena. La clonación sigue siendo difícil y no se puede escalar como la interceptación de SMS. Y no necesita construir su propio sistema de craqueo, puede comprarlo en paquetes grandes o pequeños.

Y justo cuando crea que El segundo factor es seguro y puede confiar en él, considere el tipo de ataque del navegador "man-in-the-browser".

Un método antiguo se llama partición de tarjeta SIM y es un método de ataque de canal lateral que extrae datos clave de las tarjetas SIM al monitorear canales laterales como el consumo de energía y las emanaciones electromagnéticas. La técnica requiere cierta proximidad física y puede extraer claves criptográficas secretas en minutos. Anteriormente, un atacante necesitaba acceso a una tarjeta SIM durante al menos ocho horas para llevar a cabo un ataque exitoso.

En el pasado, los atacantes usaban información de personas internas de la compañía telefónica para clonar SIM y luego cometer fraude bancario. Actualmente, hay una ola de fraudes por intercambio de SIM en Sudáfrica en la que los atacantes engañan a la compañía telefónica para que les entregue una nueva tarjeta SIM.

Protéjase contra estos fraudes al informarse primero sobre las amenazas y buenas prácticas de seguridad. Una lista de verificación de las cosas que se pueden hacer puede proteger contra los errores más comunes, pero tener una mentalidad de seguridad lo llevará más lejos.

gracias, pero ¿a qué te refieres con clonar una tarjeta SIM? ¿Podría hacerse sin tener la copia física de mi tarjeta SIM en manos del hacker? Supongo que no. ¿O me equivoco?
Un método antiguo se llama partición de la tarjeta SIM y es una metodología de ataque de canal lateral que extrae datos clave de las tarjetas SIM mediante el monitoreo de canales laterales como el consumo de energía y las emanaciones electromagnéticas. La técnica puede extraer claves criptográficas secretas en minutos. Anteriormente, un atacante necesitaría acceso a una tarjeta SIM durante al menos ocho horas para llevar a cabo un ataque exitoso.http: //www.cs.washington.edu/research/projects/poirot3/Oakland/sp/PAPERS/02_01_03.PDF
Gracias, ¿entonces necesita examinar físicamente la tarjeta SIM? Estamos hablando de crackers, no de tecnologías experimentales "ovni" de la cia / nasa. Básicamente, quiero saber si alguien puede clonar mi tarjeta SIM sin tenerla en sus manos, p. Ej. descargando algo de mi teléfono a través de algún malware o algo así. O de esta manera no se puede hacer.
En el pasado, los atacantes usaban información de una compañía telefónica para clonar SIM y cometer fraude bancario. Hay una ola muy reciente de fraude de intercambio de SIM en Sudáfrica donde los atacantes engañan a la compañía telefónica para que les dé una nueva tarjeta SIM.
Gracias, ¿descargar información de mi teléfono celular a través de un virus o algún malware no es suficiente para usar una tarjeta SIM?
No conozco ningún ataque como ese, pero el malware en su teléfono no necesita clonar la SIM, tiene acceso a todos sus datos.
Copiadoras de tarjetas SIM ... ¿quién sabía? https://www.google.com/search?q=sim+card+copier
@Derfder: podría ser posible. Así que no descargues malware en tu teléfono.
Francamente, debería preocuparse mucho más por el ataque de un hombre en el navegador que por la clonación de su tarjeta SIM: es más fácil de realizar y escala mucho mejor desde el punto de vista del atacante.
user27014
2013-06-11 10:58:16 UTC
view on stackexchange narkive permalink

Se ha hecho al usar dos factores ingresados ​​en computadoras (y directamente en cajeros automáticos; vea el enlace en la parte inferior para los problemas de SMS de dos factores en cajeros automáticos).

El blog KrebsOnSecurity.com enumera muchos eheists bancarios, incluyendo este:

https://krebsonsecurity.com/category/smallbizvictims/page/4/

"El año anterior al ciber robo, Comerica había pasado de usar certificados digitales a exigir a los clientes comerciales que ingresaran un código de acceso único de un token de seguridad. El sitio vinculado en el correo electrónico solicitó ese código, y Maslowski cumplió. En el lapso de unas pocas horas , los atacantes hicieron 97 transferencias bancarias desde la cuenta de EMI a cuentas bancarias en China, Estonia, Finlandia, Rusia y Escocia ".

Krebs se mantiene al día y tiene una categoría especial para los eheístas bancarios:

https://krebsonsecurity.com/category/smallbizvictims/

¡Brutal !!

Los puntos más importantes que he extraído de su blog:

  • los bancos NO reembolsan el fraude cibernético contra Cuentas empresas ! (a diferencia de las cuentas de consumidores).

  • La verificación de dos factores o cualquier número de solo computadora es arriesgada si los piratas informáticos se han apoderado de las computadoras de los departamentos de contabilidad. (Una historia de Krebs describía a otro eheísta de una empresa que requería que un empleado y un gerente confirmaran por separado las transferencias de sus navegadores a través de X; pero los piratas informáticos habían "poseído" ambas PC y robaron ambos conjuntos de credenciales).

  • Es mejor realizar alguna verificación "fuera de banda", p. ej., una llamada telefónica a uno o dos empleados / gerentes para transferencias habría frustrado a casi todos o todos los eheists que informó Kreb .

  • Las PC con Windows son un riesgo gigantesco para la banca comercial en línea.

  • Para banca comercial en línea en una PC con Windows, inicie temporalmente desde un DVD LiveCD Ubuntu Linus gratuito, que carga Firefox y permite una banca en línea limpia porque los virus no pueden escribir en el DVD y cualquier virus en la PC con Windows permanecerá inactivo hasta que la PC se reinicie en Windows.

(Varios de mis clientes comerciales inician desde LiveCD en sus PC con Windows cuando necesitan utilizar la banca comercial en línea).

Para el horror completo, lea algunos años de historias de atracos bancarios para pequeñas empresas de Krebs. Enviaron escalofríos a través de mis clientes de pequeñas empresas de TI.

=========

Con respecto a los ladrones que golpean al factor doble en los cajeros automáticos, se ha hecho en Europa. Los virus infectaron PC y teléfonos y las víctimas sufrieron retiros de cuentas que los bancos no creían que fueran fraudulentos hasta que montaron:

http://dkmatai.tumblr.com/post/37277877990/sopheded-smartphone -hacking-36-millones-de-euros

Ubaidah
2020-06-20 18:45:24 UTC
view on stackexchange narkive permalink

Bueno, uno de los mejores incidentes de seguridad bancaria del mundo real es la Operación Emmental , que es un excelente ejemplo de cómo encontrar serios agujeros de seguridad en los sistemas bancarios 2FA.

El ataque está diseñado para eludir un cierto esquema de autenticación de dos factores utilizado por los bancos. En particular, omite los tokens de sesión, que se envían con frecuencia a los dispositivos móviles de los usuarios a través del servicio de mensajes cortos (SMS). Se espera que los usuarios ingresen un token de sesión para activar las sesiones bancarias para que puedan autenticar sus identidades. Dado que este token se envía a través de un canal separado, este método generalmente se considera seguro.

Recomendaría leer el análisis de este ciberataque en este informe técnico . También hay muchos análisis publicados que explican el incidente.

Lo que realmente me gusta del ataque es lo elegante que fue :)



Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...