web-dev-qa-db-fra.com

Mot de passe unique via SMS: exploits possibles?

Existe-t-il un scénario crédible dans lequel l'OTP (mot de passe unique) pour les transactions par carte de crédit en ligne (spécifiquement pour Verified by Visa) peut être contourné?

Contexte: Un gars que je connais a été trompé via les voies habituelles d'ingénierie sociale (idiot je sais!) Pour révéler ses détails de carte de crédit et une transaction frauduleuse a été effectuée. La banque indique qu'un OTP précis a été entré et que sa responsabilité prend donc fin. J'ai tendance à être d'accord avec eux.

La victime OTOH insiste sur le fait que, bien qu'il ait donné son numéro de carte, sa date d'expiration et son CVV aux hameçonneurs par téléphone, il ne leur a jamais donné l'OTP reçu via son téléphone portable SMS (SMS). I trouver cela difficile à rationaliser.

C'est pourquoi je me demande s'il pourrait vraiment y avoir des canaux d'attaque qui vaincraient en quelque sorte la protection OTP-SMS? La seule possibilité que j'ai pu réfléchir est une variante du clonage de la carte SIM.

Que pensent les gens? Connaissez-vous des rapports d'exploitation comme celui-ci dans la nature? (Normalement, je n'aurais pas cru les victimes insistant sur le fait qu'il n'a jamais révélé le bureau du Procureur, mais je joue juste un peu l'avocat des démons)

Si cela est important, Verified by Visa utilise un OTP de 4 à 6 chiffres envoyé par SMS et il est censé expirer dans 180 secondes.

phishingone-time-password
5
curious_cat

À mesure que OTP de SMS gagne en popularité, il y a une tendance croissante des logiciels malveillants à le voler.

Par exemple, consultez ce rapport sur NeverQuest. Une fois qu'il infecte votre ordinateur et vole toutes vos autres informations d'identification, il affiche une page d'aspect très professionnel, apparemment de votre banque, vous demandant de télécharger une application. Et puis bien sûr, il vole vos OTP.

(PDF) https://devcentral.f5.com/d/neverquest-malware-analysis?download=true

Si votre ami insiste sur le fait qu'il n'a pas été invité à télécharger une application, le scénario probable est le suivant:

  1. Il a téléchargé une application qui semblait légitime et nécessitait des autorisations de lecture de messages texte.
  2. Une fois l'application en cours d'exécution, elle a envoyé son numéro de téléphone aux fraudeurs.
  3. Les escrocs l'ont appelé et lui ont demandé ses coordonnées.
  4. Les escrocs se sont connectés en utilisant ses coordonnées.
  5. La banque a envoyé à votre ami un OTP.
  6. L'application l'a transmis aux fraudeurs et a supprimé le SMS du téléphone.
  7. Les escrocs ont terminé la connexion à l'aide du protocole OTP.

Je n'ai pas entendu parler de cette méthode en cours d'utilisation, mais elle serait très simple à mettre en œuvre. Beaucoup plus facile que Neverquest.

4
ColBeseder

Si votre ami dit la vérité, il existe plusieurs façons dont les attaquants auraient pu obtenir le code:

  1. Si le téléphone est un GSM, il est possible qu'ils aient cloné sa carte SIM et reçu ses messages texte de cette façon
  2. Les messages texte sont traités par des systèmes appelés SMS-C - serveurs exécutant un logiciel qui gère les messages texte situés dans le réseau du fournisseur de cellules. Si les hameçonneurs réussissaient à pirater le SMS-C, ils pourraient avoir accès à tous les SMS du système
  3. Son téléphone a été piraté - un logiciel malveillant aurait pu donner aux hameçonneurs un accès aux messages texte sur son téléphone
  4. Une application sur le téléphone a divulgué les informations à l'aide d'autorisations. Sur Android lorsque vous installez une application, un message s'affiche avec tous les accès requis par l'application. Les applications offrant les fonctionnalités les plus mineures demandent parfois d'accéder aux e-mails, SMS, contacts, photos, emplacement, et l'historique de navigation - bien plus que nécessaire pour faire ce qu'ils disent. Si vous autorisez une application à accéder aux messages SMS, elle pourra légitimement transmettre tous les SMS vous envoyez ou recevez à un tiers. La plupart du temps, cela se fait pour vendre à des annonceurs, mais certaines de ces applications sont connues pour avoir été développées par des criminels expressément à des fins de vol d'identité et pour aider à une criminalité plus large.

Il est donc tout à fait possible que votre ami n'ait pas donné aux criminels les détails SMS directement, il est plutôt probable qu'il les ait donnés indirectement via les applications qu'il a installées.

4
GdD

Vous devez également considérer qu'un attaquant a utilisé le capteur IMSI comme vecteur d'attaque possible pour accéder aux données du téléphone mobile.

Les capteurs IMSI sont essentiellement des appareils qui imitent les tours de téléphones portables afin d'intercepter les appels et les SMS. Ces appareils peuvent saisir des informations telles que l'identité internationale de l'abonné mobile, ainsi que les appels téléphoniques et les SMS.

Les agences gouvernementales et les forces de l'ordre peuvent les utiliser, mais vous pouvez toujours en acheter un sur le marché noir ou en construire un vous-même (si vous savez comment le faire)

Les capteurs IMSI détournent le signal du téléphone et, dans certains cas, interceptent le contenu des appels et des SMS. Les capteurs IMSI profitent d'une vulnérabilité intégrée au système. Les téléphones utilisant la technologie 3G ou 4G peuvent authentifier les tours de téléphonie cellulaire, mais les téléphones des anciens systèmes 2G ne peuvent pas faire la distinction entre les vraies et les fausses tours.

Un capteur IMSI bloque les signaux 3G et 4G plus intelligents, forçant les téléphones mobiles de la région à passer au service 2G non sécurisé - ce que les téléphones font également régulièrement dans les zones plus rurales, où le service 2G est répandu. Le capteur IMSI se présente alors comme une tour et "capture" les signaux.

2
Michal Koczwara

Si c'est un mot de passe à quatre chiffres et que vous obtenez trois tentatives pour le saisir, alors trois attaques sur 10000 réussiront en essayant des mots de passe aléatoires. Cela ne ressemble pas beaucoup, mais si chacun des 1 milliard de personnes environ avec une carte de crédit ou de débit devait être attaqué de cette façon, il y aurait 300 000 personnes qui raconteraient toutes des histoires comme celle de votre ami.

0
Mike Scott