In che modo la "parola sicurezza" è al sicuro dall'uomo nell'attacco centrale?

2

In questo sito bancario ho letto le seguenti righe

Item #2 - You will also need to create a "Security Word". This allows you to verify that you have reached our Internet Banking site, and not some other site. Every time you attempt to log in to your accounts, we will send you a graphical representation of the Security Word that you created. If you do not see that Security Word or it is not the one you created then you know that you are NOT at OUR site. If this happens, please contact us immediately.

Si dice che la banca visualizza la parola di sicurezza in modo che l'utente possa sapere che se ha raggiunto il sito corretto, ma non capisco come impedisce l'attacco man-in-middle.

L'utente malintenzionato può chiedere alla vittima di immettere le credenziali, che poi può utilizzare per inviare la richiesta di back-end REST al sito banca originale, che restituirà un html contenente la parola di sicurezza della vittima, che può essere facilmente analizzata e può essere mostrato sul sito di phishing. In che modo questa parola di sicurezza in realtà aiuta?

    
posta Ankur 12.11.2013 - 03:15
fonte

4 risposte

7

Risposta lunga: Questo tipo di meccanismo di sicurezza non è pensato per proteggere contro MitM: è pensato per la protezione contro la mimetizzazione di URL / spoofing / phishing. Esempio:

  • Gli utenti ricevono un messaggio di spam che sembra provenire da "Legit Bank"
  • Il messaggio spam contiene un collegamento a "Aggiorna le tue informazioni", ospitato su un server controllato da criminali
  • Gli utenti inseriscono le loro informazioni, ingannati dal sito Web convincente

Questo meccanismo di sicurezza ha lo scopo di aiutare gli utenti a verificare che il sito che stanno visitando sia legittimo, senza dover insegnare loro i meccanismi logici alla base di come identificare le email di phishing o gli URL falsificati / imitativi.

Inoltre, la sofisticazione richiesta per questo tipo di MitM supererebbe il rendimento delle frodi bancarie ordinarie. In poche parole, se sei così bravo, non vale la pena perdere tempo o rischio per andare dietro agli utenti finali.

Risposta breve: No, non protegge contro MitM.

Modificato per brevità.

    
risposta data 12.11.2013 - 03:28
fonte
3

Come spiegato nelle risposte precedenti, questo tipo di protezione non combatte contro gli attacchi MITM, ma contro lo spoofing progettato per rubare le informazioni sulle credenziali.

Un esempio ben documentato è accesso di Yahoo sigillo: Yahoo visualizza un'immagine di tua scelta direttamente nella pagina di accesso (prima di ogni tentativo di accesso). Yahoo è in grado di visualizzare l'immagine giusta perché ti riconosce grazie a un cookie memorizzato nel tuo browser.

Quindi, il tuo browser invierà il cookie solo a un sito web che corrisponde al vero nome host. Ad esempio invierà il cookie a login.yahoo.com , ma non ci sarà alcun cookie inviato a un dominio come login.yahoo.com.my-phishing-site.com poiché, anche se può ingannare un utente, il dominio in realtà non corrisponde.

Pertanto, un sito di phishing non riceve il cookie, quindi non può nemmeno presentarlo alla pagina di login di Yahoo per recuperare l'immagine. Quindi, se un utente vede l'immagine sulla sua pagina di accesso, può ragionevolmente presumere che si trovi sulla pagina di accesso legittima di Yahoo e possa fornire con sicurezza il suo login e la sua password.

Se non vede l'immagine (ad esempio, la pagina di accesso sembra come al solito, che è molto più evidente di un messaggio di puro testo), verrà avvisato che qualcosa di insolito è in corso e controllare più completamente prima fornendo tutte le informazioni sulle credenziali.

    
risposta data 12.11.2013 - 18:26
fonte
2

La vulnerabilità del MITM dipende dai dettagli di come hanno implementato questa funzione.

Alcune implementazioni sono banalmente vulnerabili, come spiegano altre risposte.

Alcune implementazioni hanno la protezione MITM. Questi sono generalmente focalizzati sul caso in cui un utente ha effettuato l'accesso in precedenza dalla stessa macchina. Il browser avrà un cookie di lunga durata installato, e prima di accedere il server prenderà il cookie e visualizzerà la parola di sicurezza. Il sito di phishing non avrà quel cookie e quindi non sarà in grado di ottenere la parola di sicurezza.

Il problema con questo approccio riguarda il caso in cui un utente si connette per la prima volta da un determinato computer. Si ha una situazione di catch-22 in cui il server non può rivelare la parola di sicurezza fino a quando l'utente non si è autenticato e l'utente non vuole inserire la propria password finché non vede la parola di sicurezza. I sistemi commerciali hanno modi particolari di affrontare questo, che sono generalmente imperfetti.

La linea di fondo è che questo meccanismo di sicurezza è abbastanza rischioso. Abbiamo già un modo efficace per autenticare il server: il certificato SSL. Certo, ci sono problemi con i certificati SSL, ma questi tipi di "parole memorabili" sono peggio.

    
risposta data 12.11.2013 - 15:02
fonte
1

(oop ... incolla da duplicato su SO)

I don't understand how it prevents man-in-middle attack.

In effetti non lo è.

Significa che il tipo pigro di sito di phishing statico che costituisce la maggior parte degli attacchi fallirebbe: un hacker di phishing dovrebbe impostare alcuni metodi per interrogare il vero servizio per la parola / immagine / etc di sicurezza dell'utente (che se non viene instradato attraverso una botnet, si otterrebbe uno schema di accesso inusuale che in teoria il SOC di una banca potrebbe rilevare).

Potresti considerare questo come un valore per la banca in termini di non renderlo il "frutto sospeso più basso" per gli attacchi di phishing. Ma non fa nulla contro gli attacchi MitM, e la ricerca suggerisce che così pochi utenti prendono persino in considerazione il sito-to -autenticazione dell'utente che non vale la pena di preoccuparsi.

Potrebbe avere un certo valore per la banca come teatro della "percezione della sicurezza".

    
risposta data 12.11.2013 - 13:53
fonte

Leggi altre domande sui tag