Són segurs els SMS amb codis dels bancs?

Els experts alerten que els hackers poden interceptar els missatges utilitzats en pagaments en línia

EP

MADRID | 06·03·19 | 19:13

0
Notícia guardada al teu perfil
Veure notícies guardades

Els hackers poden interceptar els missatges amb codis del banc | Shutterstock

El concepte d'autenticació de doble factor (2FA) s'ha implementat de forma massiva en els últims dos anys, però encara queda molt per fer en molts sectors, també el financer, on se segueix confiant en els SMS amb codi, que s'han convertit en objectiu dels cibercriminals per accedir als comptes bancaris dels usuaris.

El passat mes de gener, Metro Bank del Regne Unit va confirmar al web Motherboard que alguns dels seus clients havien estat víctimes d'un atac de tipus SS7 pel qual interceptaven els missatges SMS amb codi que els bancs enviaven als seus clients per autenticar una transacció . Anteriorment, el 2017, el diari alemany Süddeutsche Zeitung va informar que els bancs alemanys s'havien enfrontat al mateix problema.

L'autenticació de doble factor (2FA), aquests quatre o sis dígits que el banc envia per SMS i que el client ha d'introduir per aprovar una transacció, és un mètode molt utilitzat per entitats financeres de tot el món per mantenir fora de perill els diners dels seus clients. No obstant això, i com expliquen des de Kaspersky Lab, els cibercriminals poden accedir als missatges de diferents formes i una d'elles és aprofitant una errada en el protocol SS7, utilitzat per les companyies de telecomunicacions per coordinar l'enviament de missatges i trucades.

Aquest tipus d'atac és possible ja que a la xarxa SS7 no l'importa qui envia la sol·licitud, per tant, si els ciberdelinqüents aconsegueixen superar els sistemes de seguretat, la xarxa seguirà les ordres com si fossin legítims per dirigir els missatges i trucades.

Els cibercriminals obtenen l'usuari i contrasenya de la banca en línia, probablement a través de 'phishing' (suplantació de la identitat d'una font legítima), 'keylogger' o troians bancaris. Llavors, inicien sessió a la banca en línia i sol·liciten una transferència. Actualment, la majoria dels bancs sol·liciten una confirmació addicional i envien un codi de verificació al compte del propietari. Si el banc realitza aquesta operació a través d'SMS, aquí és quan els ciberdelinqüents exploten la vulnerabilitat SS7, intercepten el missatge i introdueixen el text, com si tinguessin teu telèfon. Els bancs accepten la transferència com a legítima, ja que la transacció s'ha autoritzat dues vegades: amb la contrasenya del client i amb el codi d'un sol ús. Els diners acaben en mans dels delinqüents.

Segons indiquen els experts de Kaspersky Lab, això es podria evitar si els bancs utilitzessin autenticació de doble factor que no depengués dels missatges de text (per exemple, una aplicació d'autenticació o un dispositiu d'autenticació 'maquinari' com Yubikei). Però, de moment, la majoria de les entitats financeres no permeten altres mitjans d'autenticació de doble factor que no sigui a través d'SMS.