{"id":706,"date":"2006-07-11T14:27:09","date_gmt":"2006-07-11T12:27:09","guid":{"rendered":"http:\/\/www.sahw.com\/wp\/archivos\/2006\/07\/11\/la-autenticacion-de-doble-factor-burlada-por-los-phishers\/"},"modified":"2006-07-11T16:00:40","modified_gmt":"2006-07-11T14:00:40","slug":"la-autenticacion-de-doble-factor-burlada-por-los-phishers","status":"publish","type":"post","link":"https:\/\/www.sahw.com\/wp\/2006\/07\/11\/la-autenticacion-de-doble-factor-burlada-por-los-phishers\/","title":{"rendered":"La autenticaci?n de doble factor, burlada por los phishers"},"content":{"rendered":"

Mal d?a para la banca electr?nica. Es el primer caso, al menos del que yo tenga constancia, en el que se ha dise?ado y ejecutado un ataque contra una infraestructura de autenticaci?n de doble factor<\/a>.<\/p>\n

\"phishing\"<\/p>\n

El triste honor de ser los primeros ha correspondido en este caso a Citibank<\/a>, y el ataque, para fortuna de los clientes corporativos y de la propia entidad, ha sido ya desarticulado. El sitio ya no est? disponible, pero Brian Krebs ha colgado en el blog algunas capturas de pantalla. <\/p>\n

As?, podemos ver el mensaje de correo utilizado<\/a> as? como el aspecto del sitio habilitado para el robo de credenciales<\/a>, en cuyo detalle se puede apreciar c?mo los atacantes solicitan el business code<\/em>, un d?gito de 16 cifras, cuyas 7 ?ltimas se generan al vuelo a trav?s de un token<\/em>, que la entidad suministr? a sus clientes de banca corporativa, conocida comercialmente como Citibusiness<\/a>.<\/p>\n

\"citi<\/p>\n

El ataque, de una segmentaci?n sin precedentes, habida cuenta del perfil de la cartera de clientes de Citibusiness y las t?cnicas empleadas, representa un hito tambi?n en la evoluci?n de los delitos telem?ticos relacionados con el fraude y el robo de identidad. Los m?todos de doble factor siempre se han presentado como una garant?a muy s?lida para afrontar el phishing, pero este ataque demuestra que para cada innovaci?n de seguridad, hay siempre una innovaci?n maliciosa. El ataque, al m?s puro estilo de un man-in-the-middle<\/a>, permit?a recoger el d?gito procedente del token, una vez introducido por el usuario. El n?mero era verificado contra el sitio leg?timo, mientras que para el usuario, quedaba rechazado. Esta secuencia de rechazo permit?a a los atacantes recopilar bastantes n?meros, ya que el usuario lo primero que suele hacer al presentarse un error, es volver a generar otro n?mero y probar de nuevo el sistema, creyendo que est? ante un fallo temporal.<\/p>\n

Es la noticia del d?a, yo la he visto en el Washington Post<\/a>, pero tambi?n se hacen eco otros medios masivos como Slashdot<\/a>. Aqu? en Espa?a, Jos? Manuel pasa a portada<\/a> la noticia tambi?n. Citibank es una entidad que sufre una gran cantidad de ataques phishing, y que no se cansa de alertar a sus clientes<\/a>. En una iniciativa digna de los mejores aplausos, es de las pocas entidades que facilita formularios<\/a> para que detallemos los fraudes<\/a> que hemos podido sufrir, ayudando con ello a la resoluci?n y la prevenci?n de casos futuros.<\/p>\n

El phishing evoluciona, y hoy el ritmo lo han marcado los atacantes. Haciendo un s?mil futbol?stico, aprovechando el reciente mundial, podr?amos decir que uno a cero<\/em>, y sacamos nosotros desde el centro del campo.<\/p>\n","protected":false},"excerpt":{"rendered":"

Mal d?a para la banca electr?nica. Es el primer caso, al menos del que yo tenga constancia, en el que se ha dise?ado y ejecutado un ataque contra una infraestructura de autenticaci?n de doble factor. El triste honor de ser los primeros ha correspondido en este caso a Citibank, y Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-706","post","type-post","status-publish","format-standard","hentry","category-seguridad"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/706","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=706"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/706\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=706"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=706"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=706"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}