La autenticación de doble factor, burlada por los phishers

Publicado por Sergio Hernando | Formulario para escribir comentarios disponible al final del artículo





Mal día para la banca electrónica. Es el primer caso, al menos del que yo tenga constancia, en el que se ha diseñado y ejecutado un ataque contra una infraestructura de autenticación de doble factor.

phishing

El triste honor de ser los primeros ha correspondido en este caso a Citibank, y el ataque, para fortuna de los clientes corporativos y de la propia entidad, ha sido ya desarticulado. El sitio ya no está disponible, pero Brian Krebs ha colgado en el blog algunas capturas de pantalla.

Así, podemos ver el mensaje de correo utilizado así como el aspecto del sitio habilitado para el robo de credenciales, en cuyo detalle se puede apreciar cómo los atacantes solicitan el business code, un dígito de 16 cifras, cuyas 7 últimas se generan al vuelo a través de un token, que la entidad suministró a sus clientes de banca corporativa, conocida comercialmente como Citibusiness.

citi token

El ataque, de una segmentación sin precedentes, habida cuenta del perfil de la cartera de clientes de Citibusiness y las técnicas empleadas, representa un hito también en la evolución de los delitos telemáticos relacionados con el fraude y el robo de identidad. Los métodos de doble factor siempre se han presentado como una garantía muy sólida para afrontar el phishing, pero este ataque demuestra que para cada innovación de seguridad, hay siempre una innovación maliciosa. El ataque, al más puro estilo de un man-in-the-middle, permitía recoger el dígito procedente del token, una vez introducido por el usuario. El número era verificado contra el sitio legítimo, mientras que para el usuario, quedaba rechazado. Esta secuencia de rechazo permitía a los atacantes recopilar bastantes números, ya que el usuario lo primero que suele hacer al presentarse un error, es volver a generar otro número y probar de nuevo el sistema, creyendo que está ante un fallo temporal.

Es la noticia del día, yo la he visto en el Washington Post, pero también se hacen eco otros medios masivos como Slashdot. Aquí en España, José Manuel pasa a portada la noticia también. Citibank es una entidad que sufre una gran cantidad de ataques phishing, y que no se cansa de alertar a sus clientes. En una iniciativa digna de los mejores aplausos, es de las pocas entidades que facilita formularios para que detallemos los fraudes que hemos podido sufrir, ayudando con ello a la resolución y la prevención de casos futuros.

El phishing evoluciona, y hoy el ritmo lo han marcado los atacantes. Haciendo un símil futbolístico, aprovechando el reciente mundial, podríamos decir que uno a cero, y sacamos nosotros desde el centro del campo.

  • del.icio.us
  • Facebook
  • BarraPunto
  • LinkedIn
  • Meneame
  • Twitter

Tags:
Categorías: Seguridad

Trackbacks & Pingbacks

[...] legítimo la emplee, para ser inmediatamente empleada por los atacantes, si bien este método, que ya se ha dado en otros entornos de doble autenticación, es complejo y requiere atención extrema por parte del atacante a los pasos del cliente, lo que [...]

Pingback de Sergio Hernando » Nuevas tarjetas Visa PIN para combatir el fraude CNP (card not present) el 25 Junio 2008 @ 6:01 pm

[...] atacantes, aunque también dirigen sus esfuerzos a la doble autenticación (hemos hablado del tema en este blog, y recientemente el maestro Schneier hizo una reflexión al respecto), normalmente atacan primero [...]

Pingback de Doble autenticación en banca a distancia basada en EMV » Sergio Hernando el 27 Septiembre 2009 @ 2:00 pm

[...] La doble autenticación ha sido atacada ya en numerosas ocasiones, unas veces de manera sofisticada (con ataques man in the middle) y otras de manera cutre, pero efectiva (troyanizando una máquina y forzando a que, por ejemplo, el usuario introduzca todas las cifras de su tarjeta de coordenadas). En el mismo ensayo que cité antes, Schneier vaticinó que los primeros adoptantes experimentarían mejoras en los niveles de fraude consumado, ya que los atacantes irían a por los blancos más fáciles, pero que al final los atacantes irían ampliando sus miras. No se equivocaba. [...]

Pingback de Autenticar transacciones, no a las personas » Sergio Hernando el 20 Octubre 2009 @ 10:22 pm

[...] La doble autenticación ha sido atacada ya en numerosas ocasiones, unas veces de manera sofisticada (con ataques man in the middle) y otras de manera cutre, pero efectiva (troyanizando una máquina y forzando a que, por ejemplo, el usuario introduzca todas las cifras de su tarjeta de coordenadas). En el mismo ensayo que cité antes, Schneier vaticinó que los primeros adoptantes experimentarían mejoras en los niveles de fraude consumado, ya que los atacantes irían a por los blancos más fáciles, pero que al final los atacantes irían ampliando sus miras. No se equivocaba. [...]

Pingback de Autenticar transacciones, no a las personas | Shadow Security el 28 Octubre 2009 @ 1:45 am

Comentarios

Escribir un comentario

Las rupturas de línea y párrafo son automáticas. El e-mail nunca será mostrado ni cedido a terceros. Se permite el siguiente código HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

(necesario, puede ser ficticio)

(necesario, puede ser ficticio)