One Time Password tramite messaggio di testo: possibili exploit?

5

Esiste uno scenario credibile in cui l'OTP (One Time Password) per le transazioni con carta di credito online (in particolare per Verified by Visa) può essere aggirata?

Contesto: un ragazzo che conosco è stato truffato tramite le solite rotte di ingegneria sociale (stupido lo so!) nel rivelare i dettagli della sua carta di credito & è stata effettuata una transazione fraudolenta. La banca dice che è stato inserito un OTP accurato e quindi la loro responsabilità finisce. Tendo ad essere d'accordo con loro.

La vittima OTOH insiste sul fatto che, sebbene abbia dato il suo numero di carta, data di scadenza e amp; CVV ai phisher per telefono, non ha mai dato loro l'OTP ricevuto tramite il suo cellulare SMS (messaggio di testo). Lo trovo difficile da razionalizzare.

Ecco perché mi chiedo se potrebbero davvero esserci canali di attacco che in qualche modo sconfiggere la protezione OTP-SMS? L'unica possibilità di brainstorming è una variante della clonazione delle SIM card.

Che cosa pensano le persone? Conoscere eventuali rapporti di exploit come questo in natura? (Normalmente non avrei creduto alle vittime insistendo sul fatto che non ha mai rivelato l'OTP, ma sto solo facendo un po 'di difesa per i diavoli)

Nel caso in cui sia importante, Verified by Visa utilizza un OTP di 4-6 cifre inviato tramite SMS e amp; dovrebbe scoppiare tra 180 secondi.

    
posta curious_cat 03.03.2015 - 08:24
fonte

4 risposte

4

Mentre l'OTP via SMS cresce in popolarità, c'è una crescente tendenza nel malware a rubarlo.

Ad esempio, dai un'occhiata a questo rapporto su NeverQuest. Una volta che infetta il tuo computer e ruba tutte le altre credenziali, mostra una pagina dall'aspetto molto professionale, apparentemente dalla tua banca, che ti chiede di scaricare un'app. E poi, naturalmente, ruba le tue OTP.

(PDF) link

Se il tuo amico insiste che non gli è stato chiesto di scaricare un'app, allora lo scenario probabile è questo:

  1. Ha scaricato un'app che sembrava legittima e richiedeva permessi di lettura dei messaggi di testo.
  2. Una volta che l'app era in esecuzione, ha inviato il numero di telefono ai truffatori.
  3. I truffatori lo hanno chiamato e gli hanno chiesto i suoi dettagli.
  4. Gli scammer hanno effettuato l'accesso utilizzando i suoi dettagli.
  5. La banca ha inviato al tuo amico un OTP.
  6. L'app l'ha inoltrata agli scammer e ha eliminato l'SMS dal telefono.
  7. Gli scammer hanno completato il login utilizzando l'OTP.

Non ho sentito parlare di questo metodo in uso, ma sarebbe molto semplice da implementare. Molto più facile di Neverquest.

    
risposta data 29.04.2015 - 10:04
fonte
4

Se il tuo amico sta dicendo la verità, ci sono diversi modi in cui gli hacker potrebbero aver ottenuto il codice:

  1. Se il telefono è un GSM, è possibile che abbiano clonato la sua SIM e ricevuto i suoi messaggi di testo in questo modo
  2. I messaggi di testo vengono elaborati dai sistemi denominati SMS-C: i server che eseguono software che gestisce i messaggi di testo che si trovano nella rete del provider di celle. Se i phisher riuscissero a hackerare gli SMS-C, avrebbero potuto accedere a tutti i messaggi di testo nel sistema
  3. Il suo telefono è stato violato - il malware del telefono avrebbe potuto consentire ai phisher di accedere ai messaggi di testo sul suo telefono
  4. Un'app sul telefono ha trapelato le informazioni utilizzando le autorizzazioni. Su Android, quando installi un'applicazione, verrà visualizzato un messaggio con tutti gli accessi richiesti dall'app. Le app che offrono le funzionalità più piccole a volte richiedono l'accesso a email, sms, contatti, foto, posizione e cronologia di navigazione: molto più del necessario per fare ciò che dicono. Se si consente a un'applicazione di accedere a messaggi SMS, sarà in grado di inoltrare legittimamente ogni SMS inviato o ricevuto a terzi. Il più delle volte ciò viene fatto per vendere agli inserzionisti, tuttavia alcune di queste applicazioni sono conosciute per essere state sviluppate dai criminali espressamente per scopi di furto di identità e per aiutare nella criminalità più ampia.

Quindi è del tutto possibile che il tuo amico non abbia fornito direttamente ai criminali i dettagli degli SMS, invece è abbastanza probabile che li abbia dati indirettamente attraverso le app che ha installato.

    
risposta data 03.03.2015 - 09:42
fonte
2

Dovresti considerare anche che un attaccante ha utilizzato il catcher IMSI come possibile vettore di attacco per ottenere l'accesso ai dati del cellulare.

I catcher IMSI sono essenzialmente dispositivi che imitano le torri dei telefoni cellulari per intercettare chiamate e messaggi di testo. Questi dispositivi possono acquisire informazioni quali l'identità dell'iscritto mobile internazionale, nonché telefonate e messaggi di testo.

Le agenzie governative e le forze dell'ordine possono usarle, ma puoi sempre comprarne una sul mercato nero o crearne una tu stesso (se sai come farlo)

I raccoglitori IMSI dirottano il segnale del telefono e, in alcuni casi, intercettano il contenuto di chiamate e testi. I cacciatori IMSI sfruttano una vulnerabilità integrata nel sistema. I telefoni che utilizzano la tecnologia 3G o 4G possono autenticare torri cellulari, ma i telefoni su sistemi 2G precedenti non sono in grado di distinguere tra torri vere e false.

Un catcher IMSI blocca i segnali 3G e 4G più intelligenti, costringendo i telefoni cellulari nella zona a passare al servizio 2G non protetto - qualcosa che i telefoni fanno anche abitualmente in zone più rurali, dove il servizio 2G è diffuso. Il ricevitore IMSI si pone quindi come una torre e "cattura" i segnali.

    
risposta data 29.04.2015 - 10:41
fonte
0

Se si tratta di una password di quattro cifre e si ottengono tre tentativi per inserirla, tre di questi ogni 10.000 attacchi riusciranno provando password casuali. Non sembra molto, ma se ognuno dei 1 miliardo di persone con una carta di credito o di debito dovesse essere attaccato in questo modo, ci sarebbero 300.000 persone che tutti racconterebbero storie come quelle dei tuoi amici.

    
risposta data 03.03.2015 - 09:13
fonte

Leggi altre domande sui tag