miércoles, 22 de abril de 2009

¿Móviles antiguos por 25.000 euros para phishing avanzado? Creemos que no

Se habla en los medios de que los malos están pagando hasta 25.000 euros por un modelo antiguo de móvil Nokia muy concreto, que apenas vale ya 30. La razón es que dicen que contiene un error que permitiría interceptar los SMS, y poder así eludir la seguridad de los bancos que utilizan este método para validar transacciones. Hay que tomar con mucha precaución esta información, porque puede que no sea del todo cierta. Es más, según lo implementan algunos bancos, ni siquiera es necesario ningún móvil "mágico" para "interceptar" los SMS, ya tienen otro talón de Aquiles mucho más sencillo de aprovechar.

Los precedentes

Al parecer Frank Engelsman, de Ultrascan Advanced Global Investigations, observó que se había llegado a pagar 25.000 euros por un Nokia 1100 (un modelo de 2003) y que la demanda del terminal iba en aumento. Observaron que se apostaba sobre todo por un modelo hecho en una fábrica de Bochum, en Alemania.

Al parecer, aunque no hay datos técnicos suficientes sobre el problema, el software del teléfono (de 2002) tiene un fallo de seguridad que permite manipularlo. Es posible que hayan conseguido, gracias a la vulnerabilidad, interceptar de alguna forma los SMS de cualquier número. Con esto, podrían eludir la seguridad de la banca online que se sirve de mensajes cortos a los móviles para validar por completo una transacción.

En los últimos tiempos, y a la sombra del malware bancario, las entidades han apostado poco a poco por una autenticación de doble canal. Esto es, validar a la persona por un canal (la pantalla del ordenador) y la transacción en sí por otro (normalmente a través de un SMS con un código). Partiendo de la base de que uno de los canales no es nada confiable gracias a la proliferación de troyanos, se busca un canal todavía no demasiado contaminado que valide la transacción. En el texto del mensaje se incluyen normalmente las últimas cifras de la cuenta destino para que el usuario no tenga dudas de en qué momento y hacia dónde se desplaza su dinero. Si han conseguido lo que se rumorea, sería como disponer del "token" de autenticación de cualquiera.

El escenario sería el siguiente. Para que los atacantes puedan llevar a cabo este ataque, deben conocer de antemano las contraseñas "habituales" que le autentican ante la banca online. Ya sea mediante phishing o troyanizando el sistema, deben poder al menos ordenar una transacción. Lamentablemente, esta no es la parte más compleja del asunto. Los troyanos bancarios del momento son muy buenos realizando este robo sigiloso de contraseñas, incluso si el banco se protege con tarjetas de coordenadas. Los atacantes deberían entonces ordenar una transacción a sus propias cuentas, interceptar el SMS y confirmarla, eludiendo así uno de los métodos de autenticación de banca online que se suponen más seguros hasta el momento.

Las hipótesis

Pero en realidad, al no ofrecer datos técnicos que apoyen esta hipótesis, surgen dudas. No hay certeza de que el engaño esté basado en la posibilidad de clonar la tarjeta o hacer que una SIM se comporte como otra cualquiera. En cualquier caso, si fuese posible, estaríamos quizás ante una "condición de carrera" para saber dónde va la información realmente cuando dos teléfonos iguales están registrados.

Se dice que son bandas del Este y marroquíes las que están intentando obtener por todos los medios este modelo. Aunque se rumoree que se pueden usar para "phishing avanzado", en realidad, no se sabe con qué intención. La posibilidad de interceptar las contraseñas de un solo uso enviadas por SMS es sólo una hipótesis para argumentar los elevados precios que parece que se están pagando por estos terminales. Quizás, simplemente han encontrado alguna forma de realizar llamadas ilimitadas sin pagar, impedir ser localizados, o cualquier otra ventaja para quien opera al margen de la ley.

25.000 euros... ¿para qué?

Lo curioso, es que según lo tienen implementado algunos bancos (no todos), el hecho de añadir una autenticación de segundo canal (SMS) no aporta seguridad "a prueba de troyanos". Si a través del portal online se puede acceder al perfil del usuario (como es el caso de determinados bancos), solo sería necesario cambiar el número de móvil al del atacante. Esta modificación está protegida, y el sistema suele pedir coordenadas de la tarjeta para completar el cambio. Pero se supone que el atacante ya ha conseguido esas coordenadas por cualquier método. De hecho ese es el motivo de añadir una segunda contraseña a través de móvil, proteger al usuario en el caso de que alguien le haya robado su tarjeta de coordenadas. ¿Para qué querría interceptar los mensajes entonces?: un atacante inicia sesión como si se tratase de la víctima porque ha conseguido algunas o todas las coordenadas de la tarjeta con otros métodos. Como tiene las coordenadas suficientes, consigue cambiar el número de móvil. Al ordenar transacciones a sus cuentas, el mensaje de confirmación con la clave llegará al móvil del atacante. ¿Por qué pagar 25.000 euros por otros métodos más exóticos que podrían conseguir un resultado similar? La banca online que utilice estos métodos débiles, debería disponer de procedimientos mucho más rigurosos para asociar un número de móvil con un cliente si quieren que la validación de transacción por SMS aporte protección contra los troyanos bancarios.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Criminals pay top money for hackable Nokia phone
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131822

No hay comentarios:

Publicar un comentario en la entrada