Existe-t-il un scénario crédible dans lequel l'OTP (mot de passe unique) pour les transactions par carte de crédit en ligne (spécifiquement pour Verified by Visa) peut être contourné?
Contexte: Un gars que je connais a été trompé via les voies habituelles d'ingénierie sociale (idiot je sais!) Pour révéler ses détails de carte de crédit et une transaction frauduleuse a été effectuée. La banque indique qu'un OTP précis a été entré et que sa responsabilité prend donc fin. J'ai tendance à être d'accord avec eux.
La victime OTOH insiste sur le fait que, bien qu'il ait donné son numéro de carte, sa date d'expiration et son CVV aux hameçonneurs par téléphone, il ne leur a jamais donné l'OTP reçu via son téléphone portable SMS (SMS). I trouver cela difficile à rationaliser.
C'est pourquoi je me demande s'il pourrait vraiment y avoir des canaux d'attaque qui vaincraient en quelque sorte la protection OTP-SMS? La seule possibilité que j'ai pu réfléchir est une variante du clonage de la carte SIM.
Que pensent les gens? Connaissez-vous des rapports d'exploitation comme celui-ci dans la nature? (Normalement, je n'aurais pas cru les victimes insistant sur le fait qu'il n'a jamais révélé le bureau du Procureur, mais je joue juste un peu l'avocat des démons)
Si cela est important, Verified by Visa utilise un OTP de 4 à 6 chiffres envoyé par SMS et il est censé expirer dans 180 secondes.
À mesure que OTP de SMS gagne en popularité, il y a une tendance croissante des logiciels malveillants à le voler.
Par exemple, consultez ce rapport sur NeverQuest. Une fois qu'il infecte votre ordinateur et vole toutes vos autres informations d'identification, il affiche une page d'aspect très professionnel, apparemment de votre banque, vous demandant de télécharger une application. Et puis bien sûr, il vole vos OTP.
(PDF) https://devcentral.f5.com/d/neverquest-malware-analysis?download=true
Si votre ami insiste sur le fait qu'il n'a pas été invité à télécharger une application, le scénario probable est le suivant:
Je n'ai pas entendu parler de cette méthode en cours d'utilisation, mais elle serait très simple à mettre en œuvre. Beaucoup plus facile que Neverquest.
Si votre ami dit la vérité, il existe plusieurs façons dont les attaquants auraient pu obtenir le code:
Il est donc tout à fait possible que votre ami n'ait pas donné aux criminels les détails SMS directement, il est plutôt probable qu'il les ait donnés indirectement via les applications qu'il a installées.
Vous devez également considérer qu'un attaquant a utilisé le capteur IMSI comme vecteur d'attaque possible pour accéder aux données du téléphone mobile.
Les capteurs IMSI sont essentiellement des appareils qui imitent les tours de téléphones portables afin d'intercepter les appels et les SMS. Ces appareils peuvent saisir des informations telles que l'identité internationale de l'abonné mobile, ainsi que les appels téléphoniques et les SMS.
Les agences gouvernementales et les forces de l'ordre peuvent les utiliser, mais vous pouvez toujours en acheter un sur le marché noir ou en construire un vous-même (si vous savez comment le faire)
Les capteurs IMSI détournent le signal du téléphone et, dans certains cas, interceptent le contenu des appels et des SMS. Les capteurs IMSI profitent d'une vulnérabilité intégrée au système. Les téléphones utilisant la technologie 3G ou 4G peuvent authentifier les tours de téléphonie cellulaire, mais les téléphones des anciens systèmes 2G ne peuvent pas faire la distinction entre les vraies et les fausses tours.
Un capteur IMSI bloque les signaux 3G et 4G plus intelligents, forçant les téléphones mobiles de la région à passer au service 2G non sécurisé - ce que les téléphones font également régulièrement dans les zones plus rurales, où le service 2G est répandu. Le capteur IMSI se présente alors comme une tour et "capture" les signaux.
Si c'est un mot de passe à quatre chiffres et que vous obtenez trois tentatives pour le saisir, alors trois attaques sur 10000 réussiront en essayant des mots de passe aléatoires. Cela ne ressemble pas beaucoup, mais si chacun des 1 milliard de personnes environ avec une carte de crédit ou de débit devait être attaqué de cette façon, il y aurait 300 000 personnes qui raconteraient toutes des histoires comme celle de votre ami.