Seguridad en banca electrónica
El problema
El problema de los ataques Man-in-the-Middle era algo que se veía venir y sólo era cuestión de tiempo antes de que los tokens tradicionales sucumbieran ante ataques más complejos (como referencia aquí está la primera y segunda parte de un artículo que escribí hace un par de años para bankinfosecurity.com; hay que registrarse para leerlos).
La razón de que aún con un token que emula un OTP (con contraseñas dinámicas) puedan acceder ilegalmente a nuestras cuentas bancarias es simple; veamos por qué:
El cliente establece un canal de comunicación con el Banco (encriptado) y a través de este canal efectúa transacciones (línea continua).
Sin embargo, también es posible que el cliente sea engañado y en vez de establecer un canal seguro con el Banco lo establece con un delincuente. Éste a su vez establece otro canal con el Banco y realiza operaciones distintas a las que desea el cliente con las claves de acceso que captura en el momento (línea punteada).
Por ejemplo, mediante un ataque se redirecciona al usuario a un sitio web apócrifo, por ejemplo, a través de una liga dentro de un correo electrónico. El sitio parece idéntico al del Banco ante el usuario y a través de éste se capturan todas las claves de acceso (incluyendo la clave del token); las transacciones fraudulentas se realizan de forma automática y en tiempo real, estableciendo una conexión adicional con el Banco desde el sitio del delincuente.
Así que hemos invertido mucho en recomendaciones a los clientes y en cerrar sitios de phishing, pero los delincuentes tienen aún otra forma de ataque que es mucho más difícil de detectar y de evitar. Veamos con mayor detalle cómo es que se conecta el usuario al banco:
Observen que ningún canal seguro termina en el cliente, sino en la computadora del éste. Es en este equipo donde el usuario teclea el código de seguridad de su token. Ese paso es importante, pues asume que la computadora del usuario "es segura". A través de código malicioso un delincuente puede capturar códigos de seguridad de un token en tiempo real y reutilizarlos para realizar transacciones fraudulentas. También puede modificar el comportamiento del navegador o redireccionar la conexión a otro sitio, aún cuando el usuario teclee correctamente el sitio del Banco (esta técnica es común en spyware).
Así que tenemos un gran problema: Asegurar la computadora del usuario, con toda la diversidad de equipos, de software, de capacidades y de restricciones legales para hacerlo.
Seguir leyendo Seguridad en banca electrónica
El problema de los ataques Man-in-the-Middle era algo que se veía venir y sólo era cuestión de tiempo antes de que los tokens tradicionales sucumbieran ante ataques más complejos (como referencia aquí está la primera y segunda parte de un artículo que escribí hace un par de años para bankinfosecurity.com; hay que registrarse para leerlos).
La razón de que aún con un token que emula un OTP (con contraseñas dinámicas) puedan acceder ilegalmente a nuestras cuentas bancarias es simple; veamos por qué:
El cliente establece un canal de comunicación con el Banco (encriptado) y a través de este canal efectúa transacciones (línea continua).
Sin embargo, también es posible que el cliente sea engañado y en vez de establecer un canal seguro con el Banco lo establece con un delincuente. Éste a su vez establece otro canal con el Banco y realiza operaciones distintas a las que desea el cliente con las claves de acceso que captura en el momento (línea punteada).
Por ejemplo, mediante un ataque se redirecciona al usuario a un sitio web apócrifo, por ejemplo, a través de una liga dentro de un correo electrónico. El sitio parece idéntico al del Banco ante el usuario y a través de éste se capturan todas las claves de acceso (incluyendo la clave del token); las transacciones fraudulentas se realizan de forma automática y en tiempo real, estableciendo una conexión adicional con el Banco desde el sitio del delincuente.
Así que hemos invertido mucho en recomendaciones a los clientes y en cerrar sitios de phishing, pero los delincuentes tienen aún otra forma de ataque que es mucho más difícil de detectar y de evitar. Veamos con mayor detalle cómo es que se conecta el usuario al banco:
Observen que ningún canal seguro termina en el cliente, sino en la computadora del éste. Es en este equipo donde el usuario teclea el código de seguridad de su token. Ese paso es importante, pues asume que la computadora del usuario "es segura". A través de código malicioso un delincuente puede capturar códigos de seguridad de un token en tiempo real y reutilizarlos para realizar transacciones fraudulentas. También puede modificar el comportamiento del navegador o redireccionar la conexión a otro sitio, aún cuando el usuario teclee correctamente el sitio del Banco (esta técnica es común en spyware).
Así que tenemos un gran problema: Asegurar la computadora del usuario, con toda la diversidad de equipos, de software, de capacidades y de restricciones legales para hacerlo.
Seguir leyendo Seguridad en banca electrónica
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!