¿Se podría hackear la autenticación de dos factores de mi banco?

Tienes razón en que una de las formas en que un atacante podría interceptar el código es hackear tu teléfono. Un atacante también podría:

• Clone el simulador de su teléfono y solicite que se envíe un código bancario al número de su teléfono. posiblemente también podrían clonar un teléfono que no sea SIM también
• Roba tu teléfono. Una vez que tengan su teléfono, podrán realizar transacciones
• Realiza un ataque de hombre en el medio cuando usas tu sitio bancario. Esto ya se hizo, un atacante usa el malware instalado en su computadora (un hombre en el ataque del navegador) para dirigir su tráfico bancario a un sitio configurado para imitar la página de su banco. O un atacante puede subvertir un sistema para que actúe como un proxy. De cualquier manera, cuando ingresas el código, el atacante lo obtiene, luego usa el código para realizar una transacción
• Ingrese socialmente a su banco para que cambie los detalles de su teléfono móvil a un teléfono que ellos controlan. Si un atacante sabe lo suficiente sobre usted, y los procedimientos de su banco no son lo suficientemente estrictos, entonces el atacante podría llamar a su banco haciéndose pasar por usted y hacer que cambien el número de teléfono móvil.

Entonces, ¿qué puedes hacer?

• Mantenga el control de su teléfono móvil.
• Asegúrese de que su computadora esté actualizada con parches y software antimalware
• Haga todas sus operaciones bancarias en una máquina virtual y nunca guarde su estado. Si su máquina virtual es hackeada y usted guarda el estado, entonces el malware permanecerá en la máquina virtual, sin embargo, si nunca guarda su estado, el malware no podrá permanecer en la máquina virtual
• Muchos bancos utilizan algún tipo de código de autenticación para verificar la identidad de las personas que llaman. Anótelos, pero no los ponga en su computadora ni en su teléfono, de esa manera todavía hay algo que el atacante no sabe, incluso si tiene acceso total a su computadora y su identidad en línea.

No todo es pesimismo, la mayoría de las veces los bancos pueden revertir las transacciones si se detectan rápidamente, si sospecha que ha ocurrido una transacción fraudulenta, póngase en contacto con su banco lo antes posible y haga que sus investigadores lo hagan. Qué tan bien puede ir esto depende de cuáles sean las leyes locales y qué tan bueno sea su banco.

La idea general sobre un segundo factor / paso para la autenticación es proporcionar dos capas de seguridad independientes. Las vulnerabilidades en una capa no deben afectar la seguridad de la otra.

La autenticación del segundo factor se diseñó y se usó correctamente en el pasado, pero últimamente se ha visto debilitada por compañías que se preocupan más por los beneficios que por la seguridad. Los mensajes SMS no pueden recrear el nivel de seguridad de los tokens RSA y las tarjetas inteligentes cuidadosamente diseñados.

Los ataques a los SMS como segundo factor ya no son teóricos, sino delitos multimillonarios. Comprometer el teléfono es el enfoque más estricto y se utilizó al menos en este 47 millones de dólares en atracos .

Clonar la tarjeta SIM puede ser mucho más fácil cuando la ingeniería social entra en escena . La clonación aún es difícil y no puede escalar como SMS interception puede. Y no necesita crear su propio sistema de cracking, puede comprarlo en big o paquetes pequeños .

Y justo cuando crees que el segundo factor es seguro y puedes confiar en él, considera el tipo de ataque del hombre en el navegador .

Un método antiguo se llama partición de la tarjeta SIM y es un método de ataque de canal lateral que extrae datos clave de las tarjetas SIM mediante la supervisión de canales laterales como el consumo de energía y las emanaciones electromagnéticas. La técnica requiere cierta proximidad física y puede extraer claves criptográficas secretas en minutos. Anteriormente, un atacante necesitaría acceder a una tarjeta SIM durante al menos ocho horas para llevar a cabo un ataque exitoso.

En el pasado, los atacantes utilizaban información de los empleados de la compañía telefónica para clonar las tarjetas SIM y luego cometer fraude bancario. Actualmente, hay una ola de fraude de intercambio de SIM en Sudáfrica, donde los atacantes engañan a la compañía telefónica para que les entregue una nueva tarjeta SIM.

Protéjase contra ellos informándose primero sobre amenazas y buenas prácticas de seguridad. Una lista de verificación de cosas que hacer puede protegerse contra los errores comunes, pero tener una mentalidad de seguridad lo llevará más lejos.

Se ha hecho cuando se usan dos factores ingresados en las computadoras (y directamente en los cajeros automáticos; vea el enlace en la parte inferior para los problemas de SMS de 2 factores de ATM).

KrebsOnSecurity.com enumera muchos eheists bancarios, incluido este:

enlace

"El año anterior al robo cibernético, Comerica pasó de usar certificados digitales a exigir que los clientes comerciales ingresen un código de acceso único desde un token de seguridad. El sitio vinculado en el correo electrónico solicitó ese código Y Maslowski obedeció. En el lapso de unas pocas horas, los atacantes hicieron 97 transferencias bancarias desde la cuenta de EMI a las cuentas bancarias en China, Estonia, Finlandia, Rusia y Escocia ".

Krebs se mantiene al tanto de esto y tiene una categoría especial para eheists bancarios:

enlace

¡Brutal!

Los puntos más importantes que he recogido de su blog:

• ¡los bancos NO reembolsan el fraude cibernético contra las cuentas de business ! (a diferencia de las cuentas de consumo).

• dos factores o cualquier número de verificación solo por computadora son riesgosos si los hackers se han apoderado de las PC de los departamentos de contabilidad. (Una historia de Krebs describió a otro eheist de una compañía que requería que un empleado y un gerente confirmaran por separado las transferencias de sus navegadores sobre X; pero los hackers habían "poseído" ambas PC y habían robado ambos conjuntos de credenciales).

• Lo mejor es una verificación "fuera de banda", por ejemplo, una llamada telefónica a uno o dos empleados / gerentes para transferencias habría frustrado a casi todos o todos los elajes que Kreb informó.

• Las PC con Windows son un riesgo enorme para la banca comercial en línea.

• Para la banca comercial en línea en una PC con Windows, arranque temporalmente desde un DVD gratis de LiveCD Ubuntu Linus, que carga Firefox y permite la banca en línea limpia porque los virus no pueden escribir en el DVD y cualquier virus en la PC con Windows estará inactivo hasta que la PC se reinicie en Windows.

(Varios de mis clientes comerciales se inician desde LiveCD en sus PC con Windows cuando necesitan usar banca comercial en línea).

Para el horror completo, lea algunos años de historias de atraco de banca de pequeñas empresas de Krebs. Enviaron escalofríos a través de mis clientes de pequeñas empresas de TI.

=========

Con respecto a los ladrones que superan a 2-factor en cajeros automáticos, se ha hecho en Europa. Los virus infectaron computadoras, teléfonos y víctimas sufrieron retiros de cuentas que los bancos no creían que fueran fraudulentos hasta que se acumularon:

enlace