One Time Password tramite messaggio di testo: possibili exploit?

Mentre l'OTP via SMS cresce in popolarità, c'è una crescente tendenza nel malware a rubarlo.

Ad esempio, dai un'occhiata a questo rapporto su NeverQuest. Una volta che infetta il tuo computer e ruba tutte le altre credenziali, mostra una pagina dall'aspetto molto professionale, apparentemente dalla tua banca, che ti chiede di scaricare un'app. E poi, naturalmente, ruba le tue OTP.

(PDF) link

Se il tuo amico insiste che non gli è stato chiesto di scaricare un'app, allora lo scenario probabile è questo:

1. Ha scaricato un'app che sembrava legittima e richiedeva permessi di lettura dei messaggi di testo.
2. Una volta che l'app era in esecuzione, ha inviato il numero di telefono ai truffatori.
3. I truffatori lo hanno chiamato e gli hanno chiesto i suoi dettagli.
4. Gli scammer hanno effettuato l'accesso utilizzando i suoi dettagli.
5. La banca ha inviato al tuo amico un OTP.
6. L'app l'ha inoltrata agli scammer e ha eliminato l'SMS dal telefono.
7. Gli scammer hanno completato il login utilizzando l'OTP.

Non ho sentito parlare di questo metodo in uso, ma sarebbe molto semplice da implementare. Molto più facile di Neverquest.

Se il tuo amico sta dicendo la verità, ci sono diversi modi in cui gli hacker potrebbero aver ottenuto il codice:

1. Se il telefono è un GSM, è possibile che abbiano clonato la sua SIM e ricevuto i suoi messaggi di testo in questo modo
2. I messaggi di testo vengono elaborati dai sistemi denominati SMS-C: i server che eseguono software che gestisce i messaggi di testo che si trovano nella rete del provider di celle. Se i phisher riuscissero a hackerare gli SMS-C, avrebbero potuto accedere a tutti i messaggi di testo nel sistema
3. Il suo telefono è stato violato - il malware del telefono avrebbe potuto consentire ai phisher di accedere ai messaggi di testo sul suo telefono
4. Un'app sul telefono ha trapelato le informazioni utilizzando le autorizzazioni. Su Android, quando installi un'applicazione, verrà visualizzato un messaggio con tutti gli accessi richiesti dall'app. Le app che offrono le funzionalità più piccole a volte richiedono l'accesso a email, sms, contatti, foto, posizione e cronologia di navigazione: molto più del necessario per fare ciò che dicono. Se si consente a un'applicazione di accedere a messaggi SMS, sarà in grado di inoltrare legittimamente ogni SMS inviato o ricevuto a terzi. Il più delle volte ciò viene fatto per vendere agli inserzionisti, tuttavia alcune di queste applicazioni sono conosciute per essere state sviluppate dai criminali espressamente per scopi di furto di identità e per aiutare nella criminalità più ampia.

Quindi è del tutto possibile che il tuo amico non abbia fornito direttamente ai criminali i dettagli degli SMS, invece è abbastanza probabile che li abbia dati indirettamente attraverso le app che ha installato.

Dovresti considerare anche che un attaccante ha utilizzato il catcher IMSI come possibile vettore di attacco per ottenere l'accesso ai dati del cellulare.

I catcher IMSI sono essenzialmente dispositivi che imitano le torri dei telefoni cellulari per intercettare chiamate e messaggi di testo. Questi dispositivi possono acquisire informazioni quali l'identità dell'iscritto mobile internazionale, nonché telefonate e messaggi di testo.

Le agenzie governative e le forze dell'ordine possono usarle, ma puoi sempre comprarne una sul mercato nero o crearne una tu stesso (se sai come farlo)

I raccoglitori IMSI dirottano il segnale del telefono e, in alcuni casi, intercettano il contenuto di chiamate e testi. I cacciatori IMSI sfruttano una vulnerabilità integrata nel sistema. I telefoni che utilizzano la tecnologia 3G o 4G possono autenticare torri cellulari, ma i telefoni su sistemi 2G precedenti non sono in grado di distinguere tra torri vere e false.

Un catcher IMSI blocca i segnali 3G e 4G più intelligenti, costringendo i telefoni cellulari nella zona a passare al servizio 2G non protetto - qualcosa che i telefoni fanno anche abitualmente in zone più rurali, dove il servizio 2G è diffuso. Il ricevitore IMSI si pone quindi come una torre e "cattura" i segnali.

Se si tratta di una password di quattro cifre e si ottengono tre tentativi per inserirla, tre di questi ogni 10.000 attacchi riusciranno provando password casuali. Non sembra molto, ma se ognuno dei 1 miliardo di persone con una carta di credito o di debito dovesse essere attaccato in questo modo, ci sarebbero 300.000 persone che tutti racconterebbero storie come quelle dei tuoi amici.