Es una locura que los SMS hayan estado con nosotros durante 27 años, especialmente considerando todas sus deficiencias (sin recibos de lectura, límites de texto cortos y confianza en los números de teléfono). La mayor parte del mundo ha pasado a plataformas de mensajería mejores y más seguras como iMessage, WhatsApp y, con suerte, pronto, RCS.
SMS se está volviendo menos seguro, aparentemente por el día. Aunque el NIST recomendó que los SMS se reemplacen como autenticadores en 2016, un número inquietante de sitios web y aplicaciones móviles aún lo requieren para el segundo factor de autenticación.
______________________________________________________________
También le puede interesar:
AUTOMATER: Análisis de URL
______________________________________________________________
El debate acerca de su desaprobación como sistema de autenticación es menos sobre la inseguridad acordada de SMS y más sobre qué puede reemplazarlo. SMS sobrevive debido a su ubicuidad, y punto.
A continuación 6 formas sobre como los SMS como el segundo factor es omitido.
1. Transferencia de números móviles: la primera serie de desvíos 2FA ocurrió en países donde la transferencia de números de teléfono (mover un número de servicio a servicio) fue relativamente fácil. Australia fue uno de los principales sitios de caza temprana para los atacantes que, después de reunir las credenciales de un objetivo, también pudieron investigar el número de teléfono de la víctima. Una llamada rápida al operador de telefonía móvil podría obtener el número de teléfono asignado a un teléfono controlado por el atacante. A partir de ese momento, todos los códigos 2FA fueron interceptados por los atacantes, y las víctimas a menudo no tenían idea: se despertaron al día siguiente y sus teléfonos no funcionaron. Les podría llevar una semana recuperar su número, y solo entonces se dieron cuenta de que sus cuentas bancarias habían sido vaciadas.
2. Intercepción en el operador de telefonía móvil: aquí hay una novela que ha sido muy útil en el último año. Los atacantes obtienen acceso a los códigos 2FA a través del portal de clientes del operador móvil. Cuando una persona perezosa reutiliza la misma contraseña para sus cuentas de correo electrónico y móvil, todo lo que necesita el atacante para interceptar el código 2FA es iniciar sesión en la cuenta móvil del usuario y ver el código entre los mensajes de texto almacenados. Desde allí, pueden restablecer la contraseña del banco (si es que aún no la tenían), y el robo se efectúa.
3. Intercepción de malware: desde al menos el 2014, el malware
personalizado ha infectado los teléfonos móviles e interceptado los códigos 2FA basados en SMS a medida que llegaban. A veces este malware era parte de un paquete bancario de troyanos. Otras veces, el malware simplemente reenvía los códigos 2FA al atacante, y voila, se acabó el juego. Este problema estaba particularmente extendido en el ecosistema de Android, pero rara vez, si acaso, se ve con Apple.
4. Pérdida de restablecimiento de la contraseña del teléfono. Las personas pierden teléfonos y cambian de número. Sucede, como la diabetes. Por lo tanto, todos los servicios que utilizan sistemas de autenticación basados en SMS deben tener servicios de recuperación donde las personas puedan restablecer su cuenta o actualizar su número de teléfono. Si el atacante ya ha comprometido la cuenta de correo electrónico (quizás debido a las contraseñas reutilizadas), puede restablecer, actualizar o, de lo contrario, omitir el sistema 2FA. Las páginas perdidas de restablecimiento de contraseñas y teléfonos son los objetivos más comunes de la automatización no deseada en la actualidad. No me crees Revise su registro de acceso para contraseña-perdida.html.
5. Ingeniería social. Se sabe que los atacantes que se dirigen a una organización o persona específica utilizan la ingeniería social para eludir a 2FA. Por ejemplo, el atacante lo llama a usted, a la víctima, a su teléfono y afirma ser un representante de su banco. Él dice que están revisando las cuentas en busca de fraude y que le enviará un código para verificar su identidad. Él le pide que se lo lea, y luego ingresa a un sitio con sus credenciales mientras espera. Se le envía el código 2FA y usted se lo da por teléfono. Él le agradece por su ayuda, luego le roba su dinero y su dignidad residual.
6. Proxies de sitios web de Man-in-the-Middle: Modlishka. Un grupo de investigadores creó el marco del proxy de phishing Modlishka [enlace github] para mostrar cuán fácil es engañar a un usuario para que ingrese su código SMS 2FA. Si no has visto el video, es un golpe total en la frente para la comunidad de seguridad. ¿Cómo no vimos venir esto?
En teoría, el no-SMS 2FA tiene una superficie de amenaza menor (caída 1-4). La ingeniería social (5) siempre va a funcionar; Ese problema no puede ser solucionado por la tecnología. El método de ataque final, como lo muestra el marco de trabajo de Modlishka (6), es el que más me preocupa y es la inspiración para esta lista. Modlishka podría funcionar contra cualquier sistema 2FA, incluso aquellos que no se basen en SMS, porque la sesión del usuario se vio comprometida de manera efectiva tan pronto como llegaron al marco de phishing.
__________________________________________________________________
También le puede interesar:
° CEH Practice Test. La mejor Aplicación Android para Practicar el Examen «Certified Ethical Hacker» CEH!
° Seguridad Informatica Actual. La Aplicación Android de Nuestro Sitio WEB
__________________________________________________________________
Incluso con todos estos diferentes métodos de bypass, la autenticación de dos factores y de múltiples factores todavía tiene su lugar en la caja de herramientas de un defensor. Pero los sistemas 2FA están mostrando claramente su edad, dijo el autor, sacudiendo la escalera.
_______________________________________________________________________
Tomado de: https://www.securityweek.com/
Se Respetan Derechos de Autor
