‘Operación Emmental’ ataca banca en línea y autenticación de dos factores
25 July, 2014
category: Seguridad en Internet
En algunos países los bancos están enfrentando en estos momentos un ataque cibernético que da acceso a los delincuentes a las cuentas de usuario. En esta variante de ataque “man-in-the-middle” los atacantes encontraron una forma de sortear los tokens de autenticación de dos factores que se envían como mensajes de texto para activar las sesiones bancarias.
Investigadores de Trend Micro denominaron el ataque como “Operación Emmental” – como en el queso suizo – porque pueden aprovecharse los “huecos” de seguridad en la banca en línea. Hallaron que los bancos atacados permiten que la mayoría de sus clientes utilicen tokens de sesión vía SMS. Posiblemente los atacantes estén ubicados en un país de habla rusa. Han sido afectados usuarios en Austria, Japón, Suecia y Suiza.
David Sancho, coautor del informe, explicó en su blog: “Los ajustes DNS de la computadora del usuario se han modificado para que apunten a un servidor extranjero controlado por ciberdelincuentes. El malware instala un certificado raíz SSL fraudulento en sus sistemas, de modo que los servidores HTTPS maliciosos son predeterminados como de confianza”.
Cuando el cliente del banco utiliza el dispositivo infectado para visitar el sitio web del banco, se remite al usuario a un sitio con la misma apariencia, pero que es malicioso. Después que ingresa las credenciales, el usuario recibe la instrucción de instalar una aplicación de teléfono inteligente.
“Esta aplicación maliciosa Android está disfrazada como un generador de token de sesión”, escribe Sancho. “En realidad, intercepta los mensajes SMS del banco y los reenvía a un servidor de mando y control, o a otro número de teléfono móvil”.
De esa forma el atacante llega a tener acceso a las credenciales en línea del usuario y a los tokens de sesión necesarios para conectarse a la banca en línea. “Como hemos dicho muchas veces, no todas las técnicas de autenticación de dos factores tienen la misma fortaleza”, señala John Zurawski, vicepresidente de Authentify, un proveedor de autenticación de dos factores fuera de banda basada en dispositivo. “Hace falta una técnica de autenticación que se aplique después que se ha iniciado la transacción. También es necesario que comunique los detalles reales de la transacción al usuario final a través de un canal separado de comunicación segura”.
El informe de Micro Trend concluye señalando que las organizaciones que siguen empleando tokens de sesión única dejan a los clientes vulnerables frente a las aplicaciones móviles fraudulentas. Los autores recomiendan defensas más avanzadas, como múltiples números de autenticación de transacciones y lectores de tarjetas.