Agujeros en banca online y 2FA: Operación Emmental

David Sancho

Agujeros en banca online y 2FA: Operación Emmental

Algunas protecciones de la banca online tienen agujeros, como el queso Emmental. La banca siempre intenta impedir que los criminales accedan a nuestras cuentas bancarias por internet. Se han inventado muchos métodos para operar por internet de manera segura. En esta investigación se describe un ataque real que tiene como objetivo ciertos países en los que se utiliza un tipo de doble factor de autenticación de manera muy común. El ataque está diseñado para derrotar el sistema de envío de códigos mediante mensajes de texto (SMS) al dispositivo móvil del usuario para comprobar su identidad. Al utilizar un canal separado para este código, este método se considera generalmente seguro. Algunos de los bancos que utilizan este sistema no lo hacen de manera exclusiva, sino que lo complementan con otras maneras de autenticar sesiones, como PhotoTAN o mediante lectores de tarjetas. Aún así, casi todos los bancos usan el envío de SMS como principal protección y los otros métodos para clientes premium o como opción alternativa, posiblemente por el aumento de coste que implican y su mayor dificultad de uso. En este ataque, los criminales crearon un sistema para derrotar el envío de SMS específicamente para usuarios de bancos en Austria, Suiza, Suecia y Japón. Para esto, han creado una aplicación maliciosa en entorno Android, así como una infraestructura de red compleja: servidores web, DNS y redes hackeadas. Se citarán no sólo los servidores maliciosos DNS y C&C, sino que se darán pantallazos de la aplicación maliciosa en android. El malware utilizado en este caso no deja rastro en el PC de la víctima. Esto quiere decir que si el antivirus no detectara el virus al ejecutarse, ya nunca más tendrá la oportunidad de hacerlo. Esto lo convierte en un ataque extremadamente difícil de contrarrestar.

Colaborador tecnológico