Contraseña de una sola vez a través de un mensaje de texto: ¿Posibles vulnerabilidades?

A medida que OTP por SMS crece en popularidad, hay una tendencia creciente en el malware a robarlo.

Por ejemplo, echa un vistazo a este informe en NeverQuest. Una vez que infecta su computadora y le roba todas sus otras credenciales, muestra una página de aspecto muy profesional, aparentemente de su banco, que le pide que descargue una aplicación. Y luego, por supuesto, roba tus OTPs.

(PDF) enlace

Si tu amigo insiste en que no se le pidió que descargara una aplicación, el escenario probable es el siguiente:

1. Descargó una aplicación que parecía legítima y requería permisos de lectura de mensajes de texto.
2. Una vez que se ejecutó la aplicación, envió su número de teléfono a los estafadores.
3. Los estafadores lo llamaron y le pidieron sus detalles.
4. Los estafadores iniciaron sesión usando sus detalles.
5. El banco le envió a tu amigo una OTP.
6. La aplicación lo reenvió a los estafadores y eliminó el SMS del teléfono.
7. Los estafadores completaron el inicio de sesión con la OTP.

No he oído hablar de este método en uso, pero sería muy sencillo de implementar. Mucho más fácil que Neverquest.

Si tu amigo está diciendo la verdad, hay diferentes maneras en que los atacantes podrían haber obtenido el código:

1. Si el teléfono es un GSM, es posible que hayan clonado su SIM y recibido sus mensajes de texto de esa manera.
2. Los mensajes de texto son procesados por sistemas llamados SMS-Cs: servidores que ejecutan software que maneja los mensajes de texto que se encuentran en la red del proveedor de la celda. Si los phishers lograron hackear el SMS-C, podrían tener acceso a todos los mensajes de texto en el sistema
3. Su teléfono fue pirateado: el malware del teléfono podría haber dado acceso a los phishers a mensajes de texto en su teléfono
4. Una aplicación en el teléfono filtró la información usando permisos. En Android, cuando instale una aplicación, aparecerá un mensaje con todo el acceso que requiere la aplicación. Las aplicaciones que ofrecen la funcionalidad más pequeña a veces solicitan acceder al correo electrónico, sms, contactos, fotos, ubicación e historial de navegación, mucho más de lo necesario para hacer lo que dicen. Si permite que una aplicación acceda a mensajes SMS, podrá reenviar legítimamente todos los SMS que envíe o reciba a un tercero. La mayoría de las veces, esto se hace para vender a los anunciantes, sin embargo, se sabe que algunas de estas aplicaciones han sido desarrolladas por criminales expresamente con el propósito de robo de identidad y para ayudar a la delincuencia en general.

Por lo tanto, es completamente posible que su amigo no le haya dado a los criminales los detalles de los SMS directamente, en cambio, es muy probable que los haya dado indirectamente a través de las aplicaciones que instaló.

También debe considerar que un atacante usó el receptor IMSI como un posible vector de ataque para obtener acceso a los datos del teléfono móvil.

Los receptores IMSI son esencialmente dispositivos que imitan las torres de los teléfonos móviles para interceptar llamadas y mensajes de texto. Estos dispositivos pueden capturar información como la identidad de suscriptor móvil internacional, así como llamadas telefónicas y mensajes de texto.

Las agencias gubernamentales y la policía pueden usarlas, pero siempre puedes comprar una en el mercado negro o construir una tú mismo (si sabes cómo hacerlo)

Los receptores IMSI secuestran la señal del teléfono y, en algunos casos, interceptan el contenido de las llamadas y los textos. Los receptores IMSI aprovechan una vulnerabilidad incorporada en el sistema. Los teléfonos que usan tecnología 3G o 4G pueden autenticar las torres celulares, pero los teléfonos en sistemas 2G más antiguos no pueden distinguir entre torres reales y falsas.

Un receptor IMSI bloquea las señales más inteligentes 3G y 4G, forzando a los teléfonos móviles en el área a cambiar al servicio 2G sin garantía, algo que los teléfonos también hacen habitualmente en áreas más rurales, donde el servicio 2G está muy extendido. El receptor IMSI luego se hace pasar por una torre y las señales de "captura".

Si es una contraseña de cuatro dígitos y obtienes tres intentos para ingresarla, entonces tres de cada 10,000 ataques tendrán éxito al intentar contraseñas aleatorias. Eso no suena como mucho, pero si cada una de las aproximadamente mil millones de personas con una tarjeta de crédito o débito fuera atacada de esta manera, habría 300,000 personas contando historias como la de tu amigo.