Contraseña de una sola vez a través de un mensaje de texto: ¿Posibles vulnerabilidades?

5

¿Existe un escenario creíble en el que la OTP (One Time Password) para transacciones en línea con tarjeta de crédito (específicamente para Verified by Visa) se pueda omitir?

Contexto: un chico que conozco fue engañado a través de las rutas habituales de ingeniería social (¡qué tonto lo sé!) para revelar sus detalles de tarjeta de crédito y amp; Se realizó una transacción fraudulenta. El banco dice que se ingresó una OTP precisa y, por lo tanto, su responsabilidad finaliza. Tiendo a estar de acuerdo con ellos.

La víctima OTOH insiste en que a pesar de que sí dio su número de tarjeta, fecha de caducidad y amp; CVV a los phishers por teléfono, nunca les dio la OTP recibida a través de su teléfono celular SMS (mensaje de texto). Me resulta difícil racionalizar eso.

¿Por eso me pregunto si realmente podría haber canales de ataque que de alguna manera derroten la protección OTP-SMS? La única posibilidad que podría hacer una lluvia de ideas es alguna variante de la clonación de la tarjeta SIM.

¿Qué piensa la gente? ¿Conoces algún reporte de exploits como este en la naturaleza? (Normalmente, no habría creído que las víctimas insistieran en que él nunca reveló la OTP, pero solo estoy haciendo un poco de defensa de los demonios)

En caso de que importe, Verified by Visa utiliza una OTP de 4-6 dígitos enviada por mensaje de texto & se supone que expira en 180 segundos

    
pregunta curious_cat 03.03.2015 - 08:24
fuente

4 respuestas

4

A medida que OTP por SMS crece en popularidad, hay una tendencia creciente en el malware a robarlo.

Por ejemplo, echa un vistazo a este informe en NeverQuest. Una vez que infecta su computadora y le roba todas sus otras credenciales, muestra una página de aspecto muy profesional, aparentemente de su banco, que le pide que descargue una aplicación. Y luego, por supuesto, roba tus OTPs.

(PDF) enlace

Si tu amigo insiste en que no se le pidió que descargara una aplicación, el escenario probable es el siguiente:

  1. Descargó una aplicación que parecía legítima y requería permisos de lectura de mensajes de texto.
  2. Una vez que se ejecutó la aplicación, envió su número de teléfono a los estafadores.
  3. Los estafadores lo llamaron y le pidieron sus detalles.
  4. Los estafadores iniciaron sesión usando sus detalles.
  5. El banco le envió a tu amigo una OTP.
  6. La aplicación lo reenvió a los estafadores y eliminó el SMS del teléfono.
  7. Los estafadores completaron el inicio de sesión con la OTP.

No he oído hablar de este método en uso, pero sería muy sencillo de implementar. Mucho más fácil que Neverquest.

    
respondido por el ColBeseder 29.04.2015 - 10:04
fuente
4

Si tu amigo está diciendo la verdad, hay diferentes maneras en que los atacantes podrían haber obtenido el código:

  1. Si el teléfono es un GSM, es posible que hayan clonado su SIM y recibido sus mensajes de texto de esa manera.
  2. Los mensajes de texto son procesados por sistemas llamados SMS-Cs: servidores que ejecutan software que maneja los mensajes de texto que se encuentran en la red del proveedor de la celda. Si los phishers lograron hackear el SMS-C, podrían tener acceso a todos los mensajes de texto en el sistema
  3. Su teléfono fue pirateado: el malware del teléfono podría haber dado acceso a los phishers a mensajes de texto en su teléfono
  4. Una aplicación en el teléfono filtró la información usando permisos. En Android, cuando instale una aplicación, aparecerá un mensaje con todo el acceso que requiere la aplicación. Las aplicaciones que ofrecen la funcionalidad más pequeña a veces solicitan acceder al correo electrónico, sms, contactos, fotos, ubicación e historial de navegación, mucho más de lo necesario para hacer lo que dicen. Si permite que una aplicación acceda a mensajes SMS, podrá reenviar legítimamente todos los SMS que envíe o reciba a un tercero. La mayoría de las veces, esto se hace para vender a los anunciantes, sin embargo, se sabe que algunas de estas aplicaciones han sido desarrolladas por criminales expresamente con el propósito de robo de identidad y para ayudar a la delincuencia en general.

Por lo tanto, es completamente posible que su amigo no le haya dado a los criminales los detalles de los SMS directamente, en cambio, es muy probable que los haya dado indirectamente a través de las aplicaciones que instaló.

    
respondido por el GdD 03.03.2015 - 09:42
fuente
2

También debe considerar que un atacante usó el receptor IMSI como un posible vector de ataque para obtener acceso a los datos del teléfono móvil.

Los receptores IMSI son esencialmente dispositivos que imitan las torres de los teléfonos móviles para interceptar llamadas y mensajes de texto. Estos dispositivos pueden capturar información como la identidad de suscriptor móvil internacional, así como llamadas telefónicas y mensajes de texto.

Las agencias gubernamentales y la policía pueden usarlas, pero siempre puedes comprar una en el mercado negro o construir una tú mismo (si sabes cómo hacerlo)

Los receptores IMSI secuestran la señal del teléfono y, en algunos casos, interceptan el contenido de las llamadas y los textos. Los receptores IMSI aprovechan una vulnerabilidad incorporada en el sistema. Los teléfonos que usan tecnología 3G o 4G pueden autenticar las torres celulares, pero los teléfonos en sistemas 2G más antiguos no pueden distinguir entre torres reales y falsas.

Un receptor IMSI bloquea las señales más inteligentes 3G y 4G, forzando a los teléfonos móviles en el área a cambiar al servicio 2G sin garantía, algo que los teléfonos también hacen habitualmente en áreas más rurales, donde el servicio 2G está muy extendido. El receptor IMSI luego se hace pasar por una torre y las señales de "captura".

    
respondido por el Michal Koczwara 29.04.2015 - 10:41
fuente
0

Si es una contraseña de cuatro dígitos y obtienes tres intentos para ingresarla, entonces tres de cada 10,000 ataques tendrán éxito al intentar contraseñas aleatorias. Eso no suena como mucho, pero si cada una de las aproximadamente mil millones de personas con una tarjeta de crédito o débito fuera atacada de esta manera, habría 300,000 personas contando historias como la de tu amigo.

    
respondido por el Mike Scott 03.03.2015 - 09:13
fuente

Lea otras preguntas en las etiquetas