18/05/2024

seguridad

burlan 2FA

Así es como los hackers están burlando la autenticación de dos factores

Editor YPT 02/11/2021

La combinación de un nombre de usuario y una contraseña ha dejado de ser un método seguro para acceder a los servicios en línea. Algunos estudios recientes estiman en más de un 80% el porcentaje de ataques informáticos que se originan con credenciales comprometidas o débiles. Sólo en 2016, por ejemplo, se robaron unos 3.000 millones de combinaciones de nombres de usuario y contraseñas. Por eso, la implementación de la autenticación de dos factores (2FA) se ha venido imponiendo como una precaución necesaria. De manera general, la 2FA tiene como objetivo proporcionar una capa adicional de seguridad al sistema, enviando un código personalizado al usuario para verificar el inicio de sesión.

Y las cifras han avalado su éxito, algunos estudios señalan que los proveedores que tienen activada la 2FA bloquean alrededor del 99,9% de los ataques automatizados. El problema es que, como ocurre con cualquier solución de ciberseguridad, los hackers están encontrando formas de burlarla. No es tarea fácil, pero algunos lo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al smartphone del usuario. Por ejemplo, se ha demostrado que mediante estafas de SIM Swapping (intercambio de SIM) es posible eludir la 2FA; este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección.

Pero no es el único método. Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso, como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor Web. Pero algunos hackers lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de phishing; en esos casos, el hacker intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.

Ataques vía Play Store

Además de estas vulnerabilidades, expertos en seguridad han encontrado otros tipos de ataques contra la 2FA basados en SMS. Uno en particular aprovecha una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web en dispositivos Android. El atacante obtiene acceso a las credenciales para iniciar sesión en tu cuenta de Google Play en un portátil (aunque en teoría tienes que recibir un aviso a tu smartphone), para después operar en tu teléfono cualquier aplicación que desee.

Una variante similar de este sistema implica el uso de una aplicación especializada diseñada para sincronizar las notificaciones del usuario en diferentes dispositivos. Los atacantes pueden aprovechar una combinación comprometida de correo electrónico y contraseña asociadas a una cuenta de Google para instalar una aplicación de duplicación de mensajes accesible gracias a Google Play. Y, una vez instalada la aplicación, el atacante puede utilizar técnicas de ingeniería social para convencer al usuario de que habilite los permisos necesarios para que la app funcione correctamente.

Gestor de contraseñas

Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos 2FA basados en SMS. Y lo que es más importante, estos ataques no requieren capacidades técnicas de alto nivel. Simplemente saber cómo funcionan estas aplicaciones específicas y cómo utilizarlas de forma inteligente (con ingeniería social) para atacar a una víctima.

Para permanecer protegido en línea, debes comprobar si tu línea de defensa inicial es segura. En primer lugar, comprueba tu contraseña para ver si está comprometida. Hay varios programas de seguridad que te permiten hacerlo. Y asegúrate de que utilizas una contraseña bien elaborada. El uso de un gestor de contraseñas es una forma eficaz de hacer más segura la primera línea de autenticación, que es el inicio de sesión con nombre de usuario y contraseña. También es recomendable que limites el uso de SMS como método de 2FA si puedes; en su lugar puedes utilizar códigos de un solo uso basados en la aplicación, como por ejemplo a través de Google Authenticator. En este caso, el código se genera dentro de la aplicación en tu dispositivo, en lugar de enviártelo.

Fuente: https://www.pandasecurity.com/es/mediacenter/seguridad/hackers-autenticacion/

Tarjetas

Los PIN de las tarjetas de crédito se pueden adivinar incluso cuando se cubre el teclado del cajero automático

Editor YPT 21/10/2021

Los investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial que puede adivinar los PIN de tarjetas de 4 dígitos el 41% del tiempo, incluso si la víctima está cubriendo el teclado con las manos. 

El ataque requiere la configuración de una réplica del cajero automático objetivo porque entrenar el algoritmo para las dimensiones específicas y el espaciado de teclas de los diferentes teclados de PIN es de vital importancia. 

A continuación, el modelo de aprendizaje automático está entrenado para reconocer las pulsaciones de la almohadilla y asignar probabilidades específicas en un conjunto de conjeturas, utilizando el video de las personas que escriben PIN en la almohadilla del cajero automático.

Toda la cadena del ataque
Fuente: Arxiv.org

Para el experimento, los investigadores recopilaron 5.800 videos de 58 personas diferentes de diversos grupos demográficos, ingresando PIN de 4 y 5 dígitos. 

La máquina que ejecutó el modelo de predicción fue un Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno. Ciertamente no es su sistema promedio, pero dentro de un espectro económico práctico. 

Al utilizar tres intentos, que suele ser el número máximo permitido de intentos antes de que se retenga la tarjeta, los investigadores reconstruyeron la secuencia correcta para los PIN de 5 dígitos el 30% del tiempo y alcanzaron el 41% para los PIN de 4 dígitos. 

El modelo puede excluir teclas basándose en la cobertura de la mano que no escribe y deduce los dígitos presionados de los movimientos de la otra mano evaluando la distancia topológica entre dos teclas. 

Mapa de calor de predicción para tres escenarios de ataque
Fuente: Arxiv.org

La ubicación de la cámara que captura los intentos juega un papel clave, especialmente si se graba a personas zurdas o diestras. Se determinó que ocultar una cámara estenopeica en la parte superior del cajero automático era el mejor enfoque para el atacante. 

Si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido al presionar que es ligeramente diferente para cada dígito, lo que hace que las predicciones sean mucho más precisas. 

Conjeturas y probabilidades de PIN para cada dígito
Fuente: Arxiv.org

Contramedidas

Este experimento demuestra que cubrir el teclado de PIN con la otra mano no es suficiente para defenderse de los ataques basados ​​en el aprendizaje profundo, pero afortunadamente, existen algunas contramedidas que puede implementar. 

  • Primero, si su banco le da la opción de elegir un PIN de 5 dígitos en lugar de uno de 4 dígitos, elija el más largo. Puede que sea más difícil de recordar, pero es mucho más seguro contra ataques de este tipo. 

  • En segundo lugar, el porcentaje de cobertura de la mano está reduciendo significativamente la precisión de la predicción. Un porcentaje de cobertura del 75% da una precisión de 0,55 por cada intento, mientras que una cobertura total (100%) reduce la precisión a 0,33. 
  • Una tercera contramedida sería servir a los usuarios con un teclado virtual y aleatorio en lugar del mecánico estandarizado. Esto inevitablemente viene con inconvenientes de usabilidad, pero es una excelente medida de seguridad. 

Curiosamente, los investigadores utilizaron los videoclips del experimento en una encuesta con 78 participantes para determinar si los humanos también podían adivinar los PIN ocultos y hasta qué punto. 

En promedio, los encuestados respondieron con una precisión de solo el 7,92%, lo que resulta ineficaz para realizar ataques de este tipo. 

Por: Bill Toulas

Fuente: https://www-bleepingcomputer-com.cdn.ampproject.org/c/s/www.bleepingcomputer.com/news/security/credit-card-pins-can-be-guessed-even-when-covering-the-atm-pad/amp/

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023