Uno de los objetivos principales de los ciberdelincuentes es acceder a los datos de los servicios de Banca electrónica de los usuarios de internet para poder robarles el dinero.
Desde hace varios años se están dando muchos casos de este tipo de robos. Desde los primeros módulos dañinos que grababan alrededor del cursor (para ver lo que se elegía o tecleaba, algunos lo siguen haciendo), pasando por las típicas campañas de phishing, con robos de contraseñas y funciones de backdoor, siempre aderezadas con ingeniería social y terminando con ataques distribuidos de denegación de servicio, que son capaces de dejar sin servicio a entidades financieras.
Fuente: SeguridadyFirewall
Un organismo dependiente de la Universidad de Cambridge, Cronto, ha desarrollado un nuevo método de protección contra los ataques conocidos como “man-in-the-browser”. Cabe recordar que este tipo malware se centra en atacar a los usuarios de la banca online.
Este tipo de malware es utilizado por los cibercriminales para infiltrarse en el ordenador de un usuario haciéndose pasar por software legítimo. Una vez instalado, el troyano detecta el momento en el que el usuario está llevando a cabo una transacción online bancaria y, antes de realizar la transacción, es capaz de desviar fondos a otra cuenta sin que sea detectado de manera inmediata ni por el banco ni por el usuario.
Fuente: Blog Ehcgroup
Lo que han hecho es crear una capa adicional de seguridad, utilizando, dependiendo del objetivo, un método u otro de comprobación.
Configuración y utilización
La primera operación que hay que hacer es configurar los elementos de seguridad de la cuenta bancaria: Todas las entidades financieras están insistiendo a sus clientes que se aseguren que los datos de correo electrónico y número de teléfono incluidos en sus bases de datos son correctos, estos son esenciales para comprobar la seguridad de las transacciones.
Una vez que hemos comprobado correctamente estos datos, podemos comenzar a utilizar la Banca online.
Cronto permite que se pueda utilizar un dispositivo propio que implementa estos mecanismos de seguridad o también se puede utilizar nuestro teléfono móvil (tipo Smartphone obviamente).
Para que una entidad financiera pueda implementar estos servicios es preciso que suministre a sus clientes (previo pago, estamos hablando de Bancos…) un dispositivo comprado a Cronto o también elaborar una app móvil (como el Commerzbank o el Deutsche Bank) que permite utilizar sus servicios.
Hay 2 momentos en la utilización de la Banca online que es preciso utilizar esta seguridad reforzada:
Autenticación. Cuando nos estamos identificando en los servicios de Banca electrónica.
Firma. Cuando queremos realizar una operación de transferencia de fondos o de cambio de algún parámetro crítico (como el número de teléfono o el correo electrónico).
En el caso de la autenticación el método que se ha elegido por defecto es el envío de un mensaje push al teléfono móvil del cliente.
Debajo vemos un ejemplo de este tipo de mensajes.
Cuando hayamos introducido el usuario y la contraseña (esto, en principio, sigue igual) el servicio nos envía un mensaje como este al teléfono móvil que nos pregunta si somos nosotros quien intentamos autenticarnos en el servicio, debemos pulsar en SÍ si es así, NO en caso contrario.
Esto también sirve si alguien ha conseguido nuestro usuario/contraseña del servicio e intenta entrar: entonces nos aparecería en el móvil este mensaje indicando que alguien (que no somos nosotros) intenta identificarse en el servicio, debemos pulsar NO y cambiar la contraseña ipso facto.
Cuando el servicio nos pide firmar una transacción, los pasos que hay que seguir son los siguientes:
Primero nos aparece en la transacción una imagen con puntos de distintos colores.
Debemos escanearla con nuestro teléfono móvil (o el dispositivo suministrado por el Banco) a través de la aplicación PhotonTAN del Banco.
Una vez escaneada la imagen, la aplicación la descifra y nos presenta los datos de la cuenta y además un código numérico que debemos incluir en la transacción.
De esta forma ya hemos ‘firmado’ dicha transacción con un método mucho más seguro que el típico de enviar un SMS al móvil.
Los métodos de autenticación disponibles a través de los servicios de Cronto son:
- Contraseñas de un solo uso (OTP)
- Geolocalización
- Mensajes SMS y push
- Dispositivos FIDO UAF
- Huellas dactilares
- Reconocimiento facial
- Biometría conductual
Fuente: Dianabaca
Por desgracia, los Bancos españoles aún no han implementado este sistema, sí lo han hecho los bancos alemanes y suizos, paradigmas de la seguridad en general y bancaria en particular, sobre todo los suizos, aunque a veces alguien les roba los secretos mejor guardados.
Referencias
https://es.wikipedia.org/wiki/Puerta_trasera
https://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)
https://www.onespan.com/products/transaction-signing/cronto
https://blogs.ua.es/si/2011/01/21/man-in-the-browser-mitb-un-ataque-especialmente-peligroso/
https://play.google.com/store/apps/details?id=com.commerzbank.photoTAN
https://play.google.com/store/apps/details?id=com.db.pbc.phototan.db
https://play.google.com/store/apps/details?id=com.cronto.crontosign.swiss
https://www.xlsemanal.com/conocer/20131229/bunker-suizo-bytes-aqui-6746.html
https://www.tendencias21.net/Nuevo-codigo-de-barras-2D-combate-el-fraude-bancario-online_a17399.html
https://doubleoctopus.com/security-wiki/threats-and-tools/man-in-the-browser-attack/
If you found an error, highlight it and press Shift + E or pulsa aquí to inform us.
Dejar una contestacion