• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / ¿Móviles antiguos por 25.000 euros para phishing avanzado? Creemos que no

¿Móviles antiguos por 25.000 euros para phishing avanzado? Creemos que no

22 abril, 2009 Por Hispasec Deja un comentario

Se habla en los medios de que los malos están pagando hasta 25.000 euros por un modelo antiguo de móvil Nokia muy concreto, que apenas vale ya 30. La razón es que dicen que contiene un error que permitiría interceptar los SMS, y poder así eludir la seguridad de los bancos que utilizan este método para validar transacciones. Hay que tomar con mucha precaución esta información, porque puede que no sea del todo cierta. Es más, según lo implementan algunos bancos, ni siquiera es necesario ningún móvil «mágico» para «interceptar» los SMS, ya tienen otro talón de Aquiles mucho más sencillo de aprovechar.

Los precedentes

Al parecer Frank Engelsman, de Ultrascan Advanced Global Investigations, observó que se había llegado a pagar 25.000 euros por un Nokia 1100 (un modelo de 2003) y que la demanda del terminal iba en aumento. Observaron que se apostaba sobre todo por un modelo hecho en una fábrica de Bochum, en Alemania.

Al parecer, aunque no hay datos técnicos suficientes sobre el problema, el software del teléfono (de 2002) tiene un fallo de seguridad que permite manipularlo. Es posible que hayan conseguido, gracias a la vulnerabilidad, interceptar de alguna forma los SMS de cualquier número. Con esto, podrían eludir la seguridad de la banca online que se sirve de mensajes cortos a los móviles para validar por completo una transacción.

En los últimos tiempos, y a la sombra del malware bancario, las entidades han apostado poco a poco por una autenticación de doble canal. Esto es, validar a la persona por un canal (la pantalla del ordenador) y la transacción en sí por otro (normalmente a través de un SMS con un código). Partiendo de la base de que uno de los canales no es nada confiable gracias a la proliferación de troyanos, se busca un canal todavía no demasiado contaminado que valide la transacción. En el texto del mensaje se incluyen normalmente las últimas cifras de la cuenta destino para que el usuario no tenga dudas de en qué momento y hacia dónde se desplaza su dinero. Si han conseguido lo que se rumorea, sería como disponer del «token» de autenticación de cualquiera.

El escenario sería el siguiente. Para que los atacantes puedan llevar a cabo este ataque, deben conocer de antemano las contraseñas «habituales» que le autentican ante la banca online. Ya sea mediante phishing o troyanizando el sistema, deben poder al menos ordenar una transacción. Lamentablemente, esta no es la parte más compleja del asunto. Los troyanos bancarios del momento son muy buenos realizando este robo sigiloso de contraseñas, incluso si el banco se protege con tarjetas de coordenadas. Los atacantes deberían entonces ordenar una transacción a sus propias cuentas, interceptar el SMS y confirmarla, eludiendo así uno de los métodos de autenticación de banca online que se suponen más seguros hasta el momento.

Las hipótesis

Pero en realidad, al no ofrecer datos técnicos que apoyen esta hipótesis, surgen dudas. No hay certeza de que el engaño esté basado en la posibilidad de clonar la tarjeta o hacer que una SIM se comporte como otra cualquiera. En cualquier caso, si fuese posible, estaríamos quizás ante una «condición de carrera» para saber dónde va la información realmente cuando dos teléfonos iguales están registrados.

Se dice que son bandas del Este y marroquíes las que están intentando obtener por todos los medios este modelo. Aunque se rumoree que se pueden usar para «phishing avanzado», en realidad, no se sabe con qué intención. La posibilidad de interceptar las contraseñas de un solo uso enviadas por SMS es sólo una hipótesis para argumentar los elevados precios que parece que se están pagando por estos terminales. Quizás, simplemente han encontrado alguna forma de realizar llamadas ilimitadas sin pagar, impedir ser localizados, o cualquier otra ventaja para quien opera al margen de la ley.

25.000 euros… ¿para qué?

Lo curioso, es que según lo tienen implementado algunos bancos (no todos), el hecho de añadir una autenticación de segundo canal (SMS) no aporta seguridad «a prueba de troyanos». Si a través del portal online se puede acceder al perfil del usuario (como es el caso de determinados bancos), solo sería necesario cambiar el número de móvil al del atacante. Esta modificación está protegida, y el sistema suele pedir coordenadas de la tarjeta para completar el cambio. Pero se supone que el atacante ya ha conseguido esas coordenadas por cualquier método. De hecho ese es el motivo de añadir una segunda contraseña a través de móvil, proteger al usuario en el caso de que alguien le haya robado su tarjeta de coordenadas. ¿Para qué querría interceptar los mensajes entonces?: un atacante inicia sesión como si se tratase de la víctima porque ha conseguido algunas o todas las coordenadas de la tarjeta con otros métodos. Como tiene las coordenadas suficientes, consigue cambiar el número de móvil. Al ordenar transacciones a sus cuentas, el mensaje de confirmación con la clave llegará al móvil del atacante. ¿Por qué pagar 25.000 euros por otros métodos más exóticos que podrían conseguir un resultado similar? La banca online que utilice estos métodos débiles, debería disponer de procedimientos mucho más rigurosos para asociar un número de móvil con un cliente si quieren que la validación de transacción por SMS aporte protección contra los troyanos bancarios.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Criminals pay top money for hackable Nokia phone
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9131822

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Un bug permite "romper" el WhatsApp de todos los miembros de un grupo
  • USB Killer, el enchufable que puede freir tu equipo

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR