web-dev-qa-db-fra.com

L'authentification à deux facteurs de ma banque pourrait-elle être piratée?

Lorsque j'essaie de vous connecter à ma banque, un SMS code est envoyé à mon téléphone. Je tape ensuite ce code de neuf caractères sur le site Web de la banque, pour vous connecter à mon compte.

Est-ce que cela vulnérable à attaquer, sans pirater le logiciel ou le serveur de la banque, ni sans accès à mes communications téléphoniques/SMS?

Comment pourrait-il être exploité? Jusqu'à présent, la seule façon que je puisse imaginer serait que quelqu'un installe une application sur mon téléphone qui intercepte SMS trafic et renvoie le code à un attaquant. Comment puis-je empêcher cela de se produire de se produire moi?

20
user13779

Vous avez raison de dire que l'une des façons qu'un attaquant pourrait intercepter le code consiste à pirater votre téléphone. Un attaquant pourrait aussi:

  • Clonez la SIM de votre téléphone et demandez à un code bancaire à envoyer au numéro de votre téléphone. ils pourraient aussi éventuellement cloner un téléphone non-SIM aussi
  • Volez votre téléphone. Une fois que vous avez votre téléphone, ils pourraient effectuer des transactions
  • Effectuez un homme au milieu de l'attaque lorsque vous utilisez votre site bancaire. Cela a déjà été fait, un attaquant utilise des logiciels malveillants installés sur votre ordinateur (un homme de l'attaque de navigateur) pour diriger votre trafic bancaire vers un site configuré pour imiter la page de votre banque. Ou un attaquant peut subvertir un système d'agir en tant que proxy. De toute façon lorsque vous tapez dans le code, l'attaquant l'obtient, utilise ensuite le code pour effectuer une transaction.
  • Ingénieur social Votre banque Pour modifier vos coordonnées de votre téléphone mobile en un téléphone qu'ils contrôlent. Si un attaquant connaît suffisamment de vous et que les procédures de votre banque ne sont pas assez serrées, l'attaquant pouvait appeler votre banque prétendant être vous et les amener à changer le numéro de téléphone mobile.

Alors, qu'est-ce que tu peux faire?

  • Continuez à contrôler votre téléphone portable.
  • Assurez-vous que votre ordinateur est tenu à jour avec des correctifs et des logiciels anti-malware.
  • Faites toutes vos opérations bancaires sur une machine virtuelle et ne sauvez jamais son état. Si votre machine virtuelle est piratée et que vous enregistrez l'état, les logiciels malveillants resteront dans la machine virtuelle, cependant, si vous ne économisez jamais son état, les logiciels malveillants ne pourront pas rester sur la machine virtuelle.
  • De nombreuses banques utilisent une sorte de code d'authentification pour vérifier l'identité des personnes qui appellent. Ecrivez-les, mais ne les mettez pas sur votre ordinateur ou votre téléphone, de cette façon, une attaquante ne sait toujours pas, même s'ils ont un accès complet à votre ordinateur et à votre identité en ligne.

Ce n'est pas tout malheureux et la tristesse, la plupart des banques de temps peuvent inverser les transactions si elles sont prises rapidement, si vous soupçonnez qu'une transaction frauduleuse a eu lieu sur votre banque dès que possible et obtenez leurs enquêteurs. Dans quelle mesure cela peut aller dépend de ce que sont les lois locales et la qualité de votre banque.

21
GdD

Toute l'idée d'un deuxième facteur/étape d'authentification est de fournir deux couches de sécurité indépendantes. Les vulnérabilités en une seule couche ne doivent pas affecter la sécurité de l'autre.

L'authentification du second facteur a été conçue et utilisée correctement dans le passé, mais il a été affaibli par des entreprises qui se soucient davantage de bénéfices que la sécurité. SMS Les messages ne peuvent pas recréer le niveau de sécurité des jetons RSA soigneusement conçus et des cartes à puce.

Attaques sur SMS comme deuxième facteur ne sont plus des crimes théoriques mais de plusieurs millions de dollars. Compromisant le téléphone est l'approche la plus en avant du détroit et a été utilisée au moins dans cet ensemble 47 millions de dollars Heist .

Clonage de la carte SIM Peut être beaucoup plus facile lorsque l'ingénierie sociale entre dans la photo. Le clonage est toujours dur et ne peut pas échouer comme Interception SMS peut. Et vous n'avez pas besoin de construire votre propre système de craquage, vous pouvez l'acheter dans BIG ou petit Packs.

Et juste lorsque vous pensez que le deuxième facteur est sécurisé et que vous pouvez vous en tenir compte, considérez le type d'attaque Man-in-the-navigateur .

Une ancienne méthode est appelée partitionnement de la carte SIM et est une méthode d'attaque de canal latéral qui tire des données de clé de cartes SIM en surveillant les canaux latéraux tels que la consommation d'énergie et les émanations électromagnétiques. La technique nécessite une certaine proximité physique et peut extraire des clés cryptographiques secrètes en quelques minutes. Auparavant, un attaquant aurait besoin d'accéder à une carte SIM pendant au moins huit heures pour effectuer une attaque réussie.

Dans le passé, les attaquants ont utilisé des informations de la société de téléphone des initiés à Clonge Sims, puis de la fraude bancaire. Actuellement, il y a une vague de fraude SIM Swap en Afrique du Sud où les attaquants présentent la compagnie de téléphone pour leur donner une nouvelle carte SIM.

Protéger contre ceux-ci en vous éduquent d'abord des menaces et des bonnes pratiques de sécurité. Une liste de contrôle des activités à faire peut se protéger contre les pièges communs, mais avoir un état d'esprit de sécurité vous obtiendra plus loin.

11
Cristian Dobre

Cela a été fait lors de l'utilisation de deux facteurs entrés dans des ordinateurs (et directement sur des guichets automatiques; voir le lien en bas en bas pour le guichet automatique 2-factor SMS problèmes).

KrebsonSecurity.com Blog répertorie de nombreux eheists bancaires, y compris celui-ci:

https://krebsonsonecurity.com/category/smallbizvictims/page/4/

"L'année avant le cyberfol, COMERICA était passée de l'utilisation de certificats numériques pour obliger les clients commerciaux à entrer un code d'accès ponctuel à partir d'un jeton de sécurité. Le site relié à l'e-mail a demandé ce code et Maslowski s'est conformée. En plus de quelques heures, les assaillants ont effectué 97 transferts fils du compte d'EMI aux comptes bancaires en Chine, en Estonie, en Finlande, en Russie et en Écosse. "

Les Krebs me surveillent et possède une catégorie spéciale pour les eheists bancaires:

https://krebsonsecurity.com/category/smallbizvictims/

Brutal!!

Les points les plus importants que j'ai glisés à partir de son blog:

  • les banques ne remboursent pas la cyber fraude contre business comptes! (contrairement aux comptes de consommation).

  • deux facteurs ou tout nombre de vérification informatique uniquement sont risqués si les PC des départements comptables ont été repris par des pirates. (Une histoire de Krebs a décrit un autre eheist d'une société qui nécessitait un employé et un gestionnaire de confirmer séparément dans leurs transferts de navigateurs sur x; mais les pirates ont "possédé" les deux pcs et ont volé les deux ensembles de références.)

  • Une vérification "hors bande" est la meilleure, par exemple, un appel téléphonique à un ou deux employés/gestionnaires de transferts auraient contrecarré presque tout ou partie de Les eheists Kreb ont rapporté.

  • Les PC Windows sont un risque de gargantune pour les services bancaires en ligne commerciaux.

  • Pour les services bancaires en ligne commerciaux sur un PC Windows, démarrez temporairement à partir d'un DVD LiveCD Ubuntu Linus gratuit, qui charge Firefox et permet de nettoyer les services bancaires en ligne, car les virus ne peuvent pas Écrivez sur le DVD et tout virus du PC Windows sera en sommeil jusqu'à ce que le PC redémarre dans Windows.

(Plusieurs de mes clients d'affaires démarrent de LiveCD sur leurs PC Windows lorsqu'ils doivent utiliser des services bancaires en ligne commerciaux.)

Pour toute l'horreur, lisez quelques années de Krebs Business Business Banking Histoires Heist. Ils ont envoyé des frissons à travers mes clients de petits entreprises informatiques.

==========

En ce qui concerne les voleurs battant 2 facteurs dans les machines ATM, cela a été fait en Europe. Les virus infectés des PC et des téléphones et des victimes ont subi des retraits de compte que les banques ne croyaient pas frauduleuses avant leur montage:

http://dkmatai.tumblr.com/post/37277877990/sophishisticated-smartphone-hacking-36-million-euroos

5
JDub