L'autenticazione a due fattori della mia banca potrebbe essere compromessa?

Naviga le tue risposte
20

Quando tento di accedere alla mia banca, un codice SMS viene inviato al mio telefono. Quindi digito questo codice di nove caratteri nel sito Web della banca, per accedere al mio account.

È vulnerabile agli attacchi, senza l'hacking del software o del server della banca, o senza accesso alle mie comunicazioni telefoniche / SMS?

Come potrebbe essere sfruttato? Finora, l'unico modo che posso immaginare sarebbe che qualcuno installa un'app sul mio telefono che intercetta il traffico SMS e invia nuovamente il codice a un utente malintenzionato. Come potrei evitare che ciò accada a me?

    
posta Forest Monsen 29.05.2013 - 10:32
fonte

3 risposte

21

Hai ragione in uno dei modi in cui un utente malintenzionato potrebbe intercettare il codice è hackerare il tuo telefono. Un utente malintenzionato potrebbe anche:

  • Clona la sim del telefono e richiedi un codice bancario da inviare al numero del tuo telefono. potrebbero anche clonare anche un telefono non sim.
  • Ruba il tuo telefono. Una volta che hanno il telefono, potrebbero eseguire le transazioni
  • Esegui un uomo nell'attacco centrale quando usi il tuo sito bancario. Questo è già stato fatto, un utente malintenzionato utilizza malware installato sul tuo computer (un uomo nell'attacco del browser) per indirizzare il tuo traffico bancario verso un sito configurato per imitare la pagina della tua banca. Oppure un utente malintenzionato può sovvertire un sistema per fungere da proxy. In entrambi i casi Quando si digita il codice, l'hacker lo ottiene, quindi utilizza il codice per eseguire una transazione
  • Social engineer della tua banca per modificare i dettagli del tuo telefono cellulare su un telefono che controllano. Se un attaccante conosce abbastanza te e le procedure della tua banca non sono abbastanza serrate, l'attaccante potrebbe chiamare la tua banca fingere di essere te e fargli cambiare il numero di cellulare

Quindi cosa puoi fare?

  • Mantieni il controllo del tuo telefono cellulare.
  • Assicurati che il tuo computer sia aggiornato con le patch e il software anti-malware
  • Fai tutto il tuo banking su una macchina virtuale e non salvare mai il suo stato. Se la tua macchina virtuale viene hackerata e tu salvi lo stato, il malware rimarrà nella macchina virtuale, tuttavia se non salvi mai il suo stato il malware non sarà in grado di rimanere sulla macchina virtuale
  • Molte banche utilizzano una sorta di codice di autenticazione per verificare l'identità delle persone che chiamano. Scrivili ma non metterli sul tuo computer o telefono, in questo modo c'è ancora qualcosa che un utente malintenzionato non sa, anche se ha pieno accesso al tuo computer e alla tua identità online.

Non è tutto triste e triste, la maggior parte delle volte le banche possono invertire le transazioni se catturate rapidamente, se sospetti che una transazione fraudolenta sia avvenuta, vai sulla tua banca APPENA POSSIBILE e porta i loro investigatori su di essa. Quanto può andare bene dipende da quali sono le leggi locali e da quanto è buona la tua banca.

    
risposta data 29.05.2013 - 11:13
fonte
11

L'intera idea di un secondo fattore / passo per l'autenticazione è di fornire due livelli indipendenti di sicurezza. Le vulnerabilità in uno strato non dovrebbero influire sulla sicurezza dell'altro.

L'autenticazione del secondo fattore è stata progettata e utilizzata correttamente in passato, ma ultimamente è stata indebolita dalle aziende che si preoccupano più dei profitti che della sicurezza. I messaggi SMS non possono ricreare il livello di sicurezza di token RSA e smart card progettati con cura.

Gli attacchi agli SMS come secondo fattore non sono più crimini teorici ma multi-milionari. Compromettere il telefono è l'approccio più diretto ed è stato usato almeno in questo Furto da 47 milioni di dollari .

Clonare la SIM card può essere molto più facile quando l'ingegneria sociale entra nell'immagine . La clonazione è ancora difficile e non può ridimensionare come intercettazione SMS possibile. E non è necessario creare il proprio sistema di cracking, è possibile acquistarlo in grande o piccoli pacchetti.

E proprio quando pensi che il secondo fattore sia sicuro e puoi fare affidamento su di esso, considera tipo di attacco man-in-the-browser .

Un vecchio metodo è chiamato partizionamento della scheda SIM e è un metodo di attacco dei canali laterali che estrae i dati chiave dalle schede SIM monitorando canali laterali come il consumo di energia e le emanazioni elettromagnetiche. La tecnica richiede una certa vicinanza fisica e può estrarre le chiavi crittografiche segrete in pochi minuti. In precedenza un utente malintenzionato doveva accedere a una scheda SIM per almeno otto ore per eseguire un attacco riuscito.

In passato, gli aggressori hanno utilizzato le informazioni dagli operatori interni della società telefonica per clonare le SIM e poi commettere frodi bancarie. Attualmente c'è un'ondata di SIM fraud swap in Sud Africa, dove gli hacker ingannano la compagnia telefonica per fornire loro una nuova SIM card.

Proteggiti da questi prima di informarti sulle minacce e sulle buone pratiche di sicurezza. Una lista di cose da fare può proteggere contro le insidie più comuni, ma avere una mentalità di sicurezza ti porterà oltre.

    
risposta data 29.05.2013 - 11:42
fonte
5

È stato fatto usando due fattori inseriti nei computer (e direttamente agli sportelli automatici, vedi il link in fondo per i problemi SMS ATM a 2 fattori).

Il blog di KrebsOnSecurity.com elenca molti eheist bancari, incluso questo:

link

"L'anno prima del furto cibernetico, Comerica era passata dall'uso dei certificati digitali per richiedere ai clienti commerciali di inserire un passcode monouso da un token di sicurezza.Il sito collegato all'e-mail ha richiesto quel codice e Maslowski ha rispettato le regole: nell'arco di poche ore, gli hacker hanno effettuato 97 bonifici dal conto EMI a conti bancari in Cina, Estonia, Finlandia, Russia e Scozia. "

Krebs continua così e ha una categoria speciale per i eheisti delle banche:

link

Brutal !!

I punti più importanti che ho raccolto dal suo blog:

    Le banche

  • NON rimborsano le frodi informatiche contro gli account aziendali ! (a differenza degli account dei consumatori).

  • due fattori o un numero qualsiasi di verifiche solo computer sono rischiosi se i PC degli uffici contabili sono stati rilevati dagli hacker. (Una storia di Krebs descriveva un altro eheist di una società che richiedeva a un dipendente e manager di confermare separatamente nei loro trasferimenti di browser su X, ma gli hacker avevano "posseduto" entrambi i PC e rubato entrambe le serie di credenziali.)

  • Alcune verifiche "fuori banda" sono le migliori, ad esempio, una telefonata a uno o due dipendenti / manager per i trasferimenti avrebbe ostacolato quasi tutti o tutti gli eheisti segnalati da Kreb.

  • I PC Windows sono un rischio gigantesco per l'online banking commerciale.

  • Per l'online banking commerciale su un PC Windows, avvia temporaneamente da un LiveCD Ubuntu Linus DVD gratuito, che carica Firefox e consente di effettuare operazioni bancarie online pulite perché i virus non possono scrivere sul DVD e eventuali virus sul PC Windows saranno inattivo fino a quando il PC non si riavvia in Windows.

(Molti dei miei clienti business si avviano dal LiveCD sui loro PC Windows quando hanno bisogno di utilizzare i servizi bancari online commerciali.)

Per l'orrore pieno, leggi alcuni anni di storie di rapine di Krebs sulle piccole imprese. Hanno inviato brividi attraverso i miei clienti IT di piccole imprese.

=========

Per quanto riguarda i ladri che hanno battuto 2 fattori sulle macchine ATM, è stato fatto in Europa. Virus e PC infettati da virus e vittime hanno subito ritiri di account che le banche non credevano fossero fraudolenti fino a quando non montarono:

link

    
risposta data 11.06.2013 - 07:58
fonte

Leggi altre domande sui tag

Differenza di dimensione chiave tra AES e RSA DoS nel computer di rete locale